− Minst ett styremedlem bør ha cyber-kompetanse

Mannen bak sikkerhetsglasset i resepsjonen ser uforstående på meg. Jeg har nemlig ikke med meg verken pass eller førerkort, bare bankkortet, og det er normalt ikke nok for å komme inn i kontorene til NSM – altså Nasjonal sikkerhetsmyndighet. Så går han inn og spør noen om jeg kan komme inn allikevel, og det kan jeg heldigvis.

Jeg geleides inn i et anonymt møterom, likt de man finner i mange andre offentlige kontorer i Norge, selv om utsikten er spektakulær mot Bjørvika, Operaen og det nye Munchmuseet – for vi befinner oss i det gamle havnelageret i Oslo som utvendig ser ut som et palass, men altså ikke innvendig.

Og et par minutter etter kommer hun, Sofie Nystrøm, selveste sjefen for NSM, en av Norges tre hemmelige tjenester – de andre er Etterretningstjenesten og PST. Hun er 43 år gammel, men ser yngre ut, ikke særlig høy, slank og blond, og hun har på seg grønn buksedress og beige sko. Nystrøm kommenterer mine gullfargede sommersandaler og sier at slike kan man ikke ha på seg i hennes stilling − men tar seg i det og sier at det kan man selvfølgelig.

Løsepenger

Ifølge en sikkerhetsrapport fra Trend Micro oppdaget selskapet hele 126.000 cyber-sikkerhetstrusler i gjennomsnitt per minutt gjennom hele 2020, hvilket tilsvarer en økning på 20 prosent fra 2019. Året sett under ett ble det oppdaget, opplyser Trend Micro, totalt 62,6 milliarder trusler i Norge – tallet inkluderer trusler hvor inntrengerne ikke lykkes

Sofie Nystrøm bekrefter at det var rekordhøyt antall cyberangrep mot høyverdige norske mål i fjor og at utviklingen går i gal retning. NSM, som tar seg av de viktigste sakene – de som kan true rikets sikkerhet − får flere slike saker i uken.

De fleste vet nå at cybersikkerhet er viktig, men ikke alltid hvor viktig, mener hun.

− De kriminelle lammer systemene og ber om løsepenger. Dette treffer absolutt alle, fra departementer til kommuner, fra store konserner til enkeltmannsforetak, sier Nystrøm og viser til at USAs president Joe Biden nylig uttalte at cyberkriminalitet er like viktig å bekjempe som terror.

− Hva gjør disse aktørene helt konkret?

− De hacker seg inn og lammer viktige funksjoner. Så ber de om millionbeløp for å gjøre dem tilgjengelige igjen, forteller hun.

Det kan være elektrisitet, vann og avløp, pasientregistre, kunderegistre, finansielle opplysninger, teknologiske data. Og det har ekstremt store konsekvenser – mye større og mye dyrere enn om man hadde investert mer i forebygging, understreker hun og kommer med et eksempel:

Et aldershjem på Østre Toten mistet varmen i vinter. Alle systemene i kommunen var lammet. De ansatte fikk for eksempel ikke lønn, og de måtte bruke gule lapper i stedet for computerne sine. De sliter fortsatt med det. Store deler av systemet er ute av drift selv mange måneder etterpå.

Fremmede makter

− Så dette er ikke bare industrispionasje i høyteknologiselskaper som vet at de har hemmeligheter som verken konkurrenter eller andre lands myndigheter bør få kloa i?

− Dette gjelder absolutt alle, fra globale konsern til enkeltmannsforetak. Offentlig og privat. Alt henger sammen med alt i cyberverdenen. Opplysningene i bygg og anlegg kan ha forbindelser med opplysninger i helsesektoren, og systemene til en liten underleverandør kan være porten inn til en større virksomhet, som igjen har forbindelser med andre selskaper, nasjonalt og internasjonalt.

Det går over så mange ledd at det er vanskelig, nesten umulig, å få oversikt, forklarer Nystrøm. En underleverandør i India, kan igjen ha sine underleverandører i Sri Lanka og et par-tre andre asiatiske land, som igjen har leverandører i for eksempel Europa. På den måten kan data spres videre.

Det gjelder opplysninger på individnivå også. Et helseregister som blir angrepet, kan inneholde verdifull informasjon om en statsråd, en bedriftsleder eller en forhandlingsleder.

Uoversiktlig

− Er dette mest økonomisk kriminalitet eller er det like ofte fremmede makter, som for eksempel Russland eller Kina, som ligger bak?

− Begge deler. Vi vet ikke alltid, både fordi det er store mørketall og fordi det er vanskelig å finne ut hvem som ligger bak, ettersom det er så mange koblinger og så komplekst teknologisk.

− Anbefaler du å betale løsepengene?

− Nei. Det er som med all annen utpressing: Hvis du betaler, gir de seg ikke, og du må ut med mer og mer. Å lamme datasystemer er big business internasjonalt. Så det vil vi ikke anbefale. Kom til oss i stedet.

− Er det mange norske virksomheter som aldri går ut og forteller at de er blitt utpresset – slik at man kan få inntrykk av at problemet er mindre enn det er?

− Det skjer nok, bekrefter Nystrøm uten å kvantifisere. Hun «har stor forståelse for» at ikke alle velger å gå ut og fortelle at de er angrepet. Det ikke alltid det er en fordel for virksomhetens omdømme. Det kan gå utover aksjekursen, og kunder og samarbeidspartnere kan kvie seg, medgir hun.

Men hun anbefaler å være åpne om cyberangrep det hvis det er mulig, slik at flere blir klar over problemets omfang.

Styrerommene

NATO har for lengst definert cyberspace som et av sine krigføringsdomener – ved siden av krig i lufta, på sjøen og på land.

Og det kommer stadig rapporter om angrep på sentrale institusjoner i samfunnet. I september i fjor ble for eksempel Stortinget utsatt for et cyberangrep der hackerne fikk tilgang til politikeres emailer. I tillegg ble mer enn ti offentlige og private virksomheter forsøkt hacket. Etter lang etterforskning gikk PST ut og sa at det etter all sannsynlighet var russisk militær etterretning som sto bak. I mars ble Stortinget hacket igjen, og denne gang kan angrepet ifølge Microsoft spores til Kina.

Nystrøm etterlyser mer offensiv handling fra både offentlige og private. I virksomheter av en viss størrelse og som har en viss verdi for de kriminelle, mener hun at det bør være minst et styremedlem med cyberkompetanse.

− Det er styret som setter tonen. Og hvis det er mulig: Opprett også en cybersikkerhets-enhet i virksomheten, oppfordrer Nystrøm.

− Cybersikkerhet er like viktig kompetanse i et styre som kunnskap om teknologi og finans.

Dette er et altfor komplisert felt til at virksomheter kan sette det bort eller delegere det til lavere nivåer. Ledere burde være mye mer bekymret for cybertyveri enn for vanlig innbrudd.

De beste hodene

Uten god nok kompetanse om cybersikkerhet innomhus er det umulig å være godt nok rustet. Eller egentlig er ingen godt nok rustet, tilføyer hun, for de kriminelle ligger alltid to steg foran. Og det er ikke alltid lett å få tak i nok folk med ekstra god kompetanse i et så spesialisert felt.

− Det er mangel på flinke folk. Vi kappes om de beste hodene. Det merker også vi i NSM når vi rekrutterer.

− Kan dere rekruttere utlendinger, med hensyn til sikkerhet?

− Vi foretrekker norske statsborgere. Men alle vi ansetter må kunne bli sikkerhetsklarert, naturligvis.

− Sjekket dere opp meg også, før jeg kom for å snakke med deg?

Nå ler hun.

− Det gjør vi med alle! Men vi har hittil ikke sagt nei til journalister av sikkerhetsårsaker.

Mini-CV: Sofie Nystrøm

Født: 1978

Sivilstand: «Det oppgir vi ikke»

Utdanning: Mastergrad i Computer Science fra Purdue University I 2005

Stilling: Direktør i Nasjonal Sikkerhetsmyndighet siden juni i år.

Budjett: 460,3 mill. kr

Antall ansatte: ca. 350

Karriere:

• 2017- 2021: Avdelingsdirektør i Etterretningstjenesten

• 2015 -2017: direktør ved NTNU Center for Cyber and Information Security

• 2014 – 2015: visepresident, Head of Group Security i Telenor ASA

• 2008 - 2014: Executive Vice President i DNB Bank ASA som konsernansvarlig for informasjon og sikkerhet.

• 2006 – 2008: direktør for informasjonssikkerhetstjenester i Symantec.

• 2004 – 2006: sjef for NorCERT i Nasjonal sikkerhetsmyndighet

• 2002 – 2004: prosjektleder og forsker i Senter for informasjonssikring.

Sats på norsk forskning

− Du har sagt at norske dataselskaper og forskere bør konsentrere seg mer om å utvikle nye programmer for datasikkerhet og mindre om å lage nye apper – hvordan får man til det? Lønner det seg ikke mer for virksomhetene å satse på artige apper og spill?

− Det ligger åpenbart mye penger for selskaper og gründere i å satse på cybersikkerhet. Det er et globalt marked for det, og Norge har gode forutsetninger. Våre norske verdier er en konkurransefordel, begynner Nystrøm.

− Nordmenn har høy tillit, vi oppfattes som pålitelige, vi holder avtaler. Og vi er allerede langt fremme på enkelt områder, som biometri, altså å identifisere personer ut fra biologiske mønstre, for eksempel øyets iris. − Å legge til rette for en nasjonal satsning på cybersikkerhet er noe av det jeg vil satse på i min periode som leder av NSM, forsetter hun.

Gjelder alle

− Du nevnte småbedrifter og enkeltmannsforetak i sted. Men bør vanlige mennesker som leser dette og ikke har noen spesielt viktige forbindelser virkelig føle t det angår dem?

− Alle har noen forbindelser. Dette dreier seg i ytterste konsekvens om rikets sikkerhet. Du kjenner kanskje en kjent person. Ved å koble seg på deg som enkeltmenneske, kan de kriminelle få ut informasjon om denne andre personen.

Sofie Nystrøm har vært en tydelig stemme i offentligheten i flere år. Hun har oppfordret Forsvaret til å sette seg på den digitale skolebenken, og hun har refset myndighetene for å ikke være offensive nok. I Dagen Næringsliv sa hun for eksempel for fire år siden at «norske borgere og bedrifter ikke har noen reell støtte fra myndighetene i bekjempelsen av slik kriminalitet» og at de kriminelle «ikke løper noen reell risiko for å bli tatt og dømt».

Før hun ble direktør NSM var hun i mange år en aktiv pådriver for å få en egen enhet i politiet for å etterforske cyberkriminalitet. Og for to år siden ble Nasjonalt cyberkrimsenter en realitet.

Jeg spør om det var hun selv som fikk politienheten på plass, og hun svarer beskjedent at hun har vært med på det.

Farlig samfunn

Men problemet fordufter selvsagt ikke med dette. For ikke bare er det vanskelig å følge data gjennom en internasjonal forgrenet labyrint − som hun påpeker: Alle de involverte landene har dessuten sin egen praksis og sin egen lovgivning, og det kompliserer samarbeidet.

− Lever vi i en grunnleggende farlig verden med et mye høyere trusselnivå enn det de fleste vet om?

− Trusselbildet er skjerpet. Det bekrefter de offisielle rapportene fra Etterretningstjenesten og PST. For kort tid siden var for eksempelen general ute i TV2-nyhetene og fortalte om økt russisk aktivitet i norske farvann. Da håper jeg folk skjønner at det samme skjer i det digitale domenet, bare at da er det usynlig.

− Er nordmenn naive, og i så fall hvorfor det?

− Jeg vil ikke bruke ordet naiv, men vi kommer fra et samfunn som har levd i dyp fred i flere generasjoner. Nå lever vi i en tidsalder med koblinger av informasjon fra land til land, sektor til sektor. Det er mye mer ustabilt. Vi forstår kanskje ikke godt nok hvor mye løsepengevirus, såkalt «ransomwere», kan lamme et helt samfunn. Elektrisitet, vann og avløp, helsevesenet. Og bedriftsledere overskuer ikke hvilken skade det kan gjøre på deres virksomhet.

Rekruttering

Sofie Nystrøm snakker behersket, klokt, flinkt og kunnskapsrikt om trusler og spionasje og har full kontroll under intervjusituasjonen. Hun vet hva hun vil, og sier bare det hun vil, og i dette intervjuet vil hun tydeligvis si at både private og offentlige virksomheter må skjerpe seg og få cybertrussel-kompetanse helt inn i styrerommet.

Så rolig og målbevisst er hun trolig i alle situasjoner, tenker jeg og funderer på hva slags mennesker som går inn i − og blir ledere av – hemmelige tjenester. Hennes forrige jobb var jo som avdelingsleder i Etterretningstjenesten.

− Hvordan blir man rekruttert? Kommer det en grå mann bort til deg en vakker dag og mumler noe om at noen vil snakke med deg, og plutselig blir du forhørt av fem grå menn – som i en John Le Carré-roman?

− Der må jeg nok skuffe deg, sier hun og trekker litegrann på smilebåndet.

− Det finnes ikke noen standardsvar for hvordan man blir rekruttert. Jobbene i hemmelig tjenester blir åpent utlyst. Men jeg har én historie: En gang da jeg søkte en stilling ble jeg intervjuet i tre omganger og så ble jeg trukket til side og i et annet rom ble jeg tilbudt en helt annen stilling på et annet område.

Hos verdens beste

Nystrøms karriere startet allerede da hun gikk på universitetet – nærmere bestemt Purdue University i Indiana − som lenge har vært et arnested for cybersikkerhet. Dette var før nordmenn flest neppe kunne stave ordet.

Hun ble raskt kjent med professor Gene Spafford, som betegnes som en «legende» i miljøet. Det var han som opprettet verdens første brannmur og oppdaget den første «virusormen» på nettet på åttitallet. Han ville ha med Nystrøm i forskningssentret sitt, og det ville hun mer enn gjerne.

− Spafford var en fargerik professor som ville ha med flere kvinner. Alle de store selskapene, som Intel og Microsoft, var partnerne våre. Vi fikk noen patenter også, forresten.

− Hvordan ble du leder? Det ser ut til at du begynte med lederoppgaver nærmest med en gang utfra CV-en din?

− Det har jeg også fundert litt på. I Silicon Valley var det noen som sa til meg at jeg ville egne meg som leder, og jeg ble sjokkert, hadde aldri tenkt på det. Jeg vet fortsatt ikke hva det var i meg han så.

Nytenkning

− Men jeg har hele karrieren vært opptatt av nytenkning og nye løsninger. I de virksomhetene hvor jeg har arbeidet, med tung teknologi, har jeg aldri vært den som ville lage den nye koden, sier Nystrøm.

− Jeg har hatt min styrke i det overordnede, i å sette sammen nye team og utforme sikkerhetsoperasjoner. Jeg synes det er gøy å bli presentert nye ideer. Jeg går lett i dialog med de som ser noe nytt. Og jeg liker å jobbe sammen med dyktige og motiverte mennesker som er genuint opptatt av det de driver med, sier hun og bekrefter at hun har fått «brorparten» av lederjobbene sine via hodejegere.

− Mange sektorer har særegne ledelsesutfordringer, f.eks. har kreative yrker gjerne «divaer». Hva er lederutfordringen for en leder i din posisjon?

− Vi konfronteres med utfordringer og hendelser som er nye og ukjente nesten hver gang. Det betyr at lederen ikke må være en som blir utrygg hvis han eller hun ikke har full oversikt eller ikke kan alt. Man kan ikke forberede seg til neste hendelse. Det må man trives med, ellers tror jeg man bør se seg om etter et annet yrke.

Hemmelig

− Har du vært i en situasjon på en arbeidsplass hvor det har vist seg at en medarbeider ikke var til å stole på, kanskje til og med var spion?

− Nei.

− Er det mye du får vite som du må holde tett om – aldri røpe ikke engang for de nærmeste?

− Ja, selvfølgelig.

Her har vi tydeligvis kommet til den delen av samtalen hvor replikkene blir korte. Jeg spør, litt halvhjertet, om sivilstand og eventuelle barn, men får det forventede svaret: «Det kommenterer vi ikke.» NSM er tross alt en hemmelig tjeneste.

I et intervju med Forsvarets Forum i mai i år opplyses det at hun er fullstendig klar over at hun blir overvåket, både på nettet og i virkeligheten. Fremmede biler hvor det sitter menn med utenlandsk aksent skal stadig stå utenfor boligen hennes og ta bilder. Jeg nevner det, men hun gir ingen ytterligere opplysninger.

− Det må jo være en psykologisk påkjenning – og litt skremmende − å leve slik?

− Vi er trenet på det som en del av å være i søkelyset og ha en offentlig profil.

Jenter og data

Hun vokste opp i Drammen, faren var sivilingeniør og prosjektleder innen olje og gass, og hun lekte med farens computer fra før hun begynte på skolen. Familien var den eneste i nabolaget med printer og internett hjemme. De hadde til og med internett på hytta.

− Mange jenter, selv i dag, er mindre eksponert for teknologi i tidlig alder og finner det lite naturlig å velge slike yrker?

− Det er jeg klar over, og jeg vil snart komme med konkrete forslag til politisk ledelse om hvordan vi skal få inn flere kvinner og jenter, og særlig i cybersikkerhet.

− Du selv lærte deg alfabetet på egenhånd ved å sitte ved tastaturet som bitteliten jente?

− Akkurat det er en myte, men jeg er blitt fortalt at jeg satt og klunket på tastaturet fra jeg var fire. Tidlig eksponering for teknologi har nok betydd mye, sier hun.

Over hindre

Sofie Nystrøm tror sprangridning også har vært med å forme henne som leder. Hesten sin snakker hun gjerne om – det er spranghest på 659 kilo.

− Jeg har ridd siden jeg var seks, og konkurrerte en del i sprangridning da jeg var ynge. Det handler om å kontrollere et dyr som er mye større enn deg selv, også i 25 kuldegrader og kuling. Jeg håper arbeidsmoralen min kommer litt derfra. Jeg er glad i å seile også, har en katamaran. Seiling og hest har gjort meg ganske god på risikovurderinger.

− Er du spenningssøkende? En tøffing?

− Jeg vil si om meg selv at jeg er ganske modig, men med «tøffing» tenker jeg en som er ute i krig.

− Det er du da? Du kriger for Norge, med andre midler?

− Ja, jeg skal krige for Norges sikkerhet. Det er jobben min, sier hun.

− Det er spennende?

− Det er krevende og spennende, og jeg motiveres av begge deler.

Jeg spør om hun kan skyte, og hun sier at hun har prøvd og syntes det var gøy, men hun er ingen skytter og gjør det ikke regelmessig. På spørsmål om hun har livvakter får jeg i «ingen kommentar». Det er imidlertid hun selv som bringer opp TV-serien om fransk etterretning, «Le Bureau», men da jeg spør henne om den er realistisk, slik det ofte er blitt påstått, sier hun at hun vanligvis ikke finner underholdningsserier om spionverden særlig virkelighetsnære. Hun bare sitter og irriterer seg over alt de har fremstilt feil – og dessuten har hun liten tid til å se på TV.

− Le Carré og Ian Fleming var begge i britiske hemmelig tjenester. Flere norske politifolk har blitt krimforfatter etter at de gikk av. Vil du følge i deres fotspor?

− Spør meg om 20 år!

− Vet du alt som er å vite om alt som er hemmelig i Norge?

– Nei.