TL;DR

Denne bloggposten diskuterer noen av de grunnleggende misforståelsene rundt hva etterretning er, forskjellene mellom etterretning og cybersikkerhet som uavhengige fagfelt, samt hvordan dette får konsekvenser for beslutningstagere i private virksomheter.

Den diskuterer videre hvordan potensialet i etterretningsfaget er langt mer omfattende enn hvordan det i dag blir benyttet i det private, og at å skape en funksjon som gir økt beslutningsstøtte til ledelse kan være et viktig bidrag til å rette opp i dette. Det er naturlig å anta at behovet for dette er stort, da økt digitalisering skaper et stadig mer omfattende trusselbilde for de fleste organisasjoner.

En sentral etterretningsfunksjon, potensielt i form av en Chief Intelligence Officer (CINO)-rolle, vil kunne hjelpe beslutningstakere å få oversikt over hva som er viktig, hva som er støy, og hva informasjonen egentlig betyr.

For å utforske hvordan dette kunne sett ut i praksis, og hva noen av de største fallgruvene for CINO-rollen er, har vi intervjuet et utvalg norske virksomhetsledere, etterretningsanalytikere og sikkerhetsansvarlige om deres opplevelse av nåsituasjonen, behov og potensial for en sentral funksjon for etterretningsledelse.

Bakgrunn

I 2021 skrev A.J. Nash artikkelen «Rise of the Chief Intelligence Officer (CINO)». Artikkelen diskuterer utfordringene med Cyber Threat Intelligence (CTI) i private organisasjoner. Til tross for at mange store bedrifter har CTI-ressurser, mangler de ofte nødvendig etterretningshåndverk, standarder og prosesser for beslutningsstøtte utover utvikling av tekniske deteksjonsmekanismer og reaktive tiltak. Dette skyldes, ifølge Nash, hovedsakelig en grunnleggende misforståelse av hva etterretning er, og forskjellene mellom etterretning og cybersikkerhet som uavhengige fagfelt.

Observasjonen er neppe unik for USA. Også i Norge har stadig flere virksomheter enten innleide eller egne CTI-ressurser. Ressursene er ofte tilknyttet et situasjonssenter (SOC), med fokus på nettopp deteksjon og hendelseshåndtering. Dette er utvilsomt nyttig for å avdekke hendelser og til beslutningsstøtte når hendelser inntreffer. Samtidig representerer det en svært snever anvendelse av etterretningsfaget.

Snever etterretningspraksis i næringslivet

Potensialet i etterretningsfaget er langt mer omfattende. Det finnes utallige definisjoner av hva etterretning er og bør være, men de fleste formuleringer tegner et bilde av noe bredere enn det som synes å være vanlig praksis innen CTI i dag. Med en sivil omskriving av Forsvarets definisjon kan etterretning forstås som resultatet av innhenting, analyse og vurdering av data og informasjon, utarbeidet for å gi fortrinn i beslutningsprosesser. Enda mer konsist sagt kan etterretning beskrives som beslutningsstøtte. Dette kan i utgangspunktet dreie seg om å gi fortrinn i alle typer rasjonelle beslutninger relatert til en motpart, på alle nivåer i en organisasjon.

Behov for endring

Det er også naturlig å anta at behovet i næringslivet er stort. I takt med økt digitalisering blir også trusselbildet stadig mer omfattende. Makrodrivere, som sikkerhetspolitiske spenninger, inflasjon, og klima- og energikriser, kompliserer bildet ytterligere. Problemstillingen er heller ikke begrenset til trusselaspektet. De samme driverne kan påvirke en virksomhets styrker, svakheter og ikke minst, muligheter. Hvilke fortrinn vil god beslutningsstøtte rundt alle disse faktorene kunne gi i et konkurransepreget marked?

Selv om vi har tilgang på nærmest uendelige mengder informasjon er det utfordrende for beslutningstakere å få oversikt over hva som er viktig, hva som er støy, og hva informasjonen egentlig betyr. Målrettet innsamling og analyse av informasjon, kjerneoppgaver i etterretning, er nødvendig for at ikke støyen skal bli overveldende. Dette omfatter også informasjonen som produseres internt i virksomheten. Evnen til å utnytte virksomhetens totale kunnskapsbank kan være avgjørende for å ta gode retningsvalg.

Slikt sett kan det altså være et uutnyttet potensial i etterretningsfaget når det kommer til å dekke faktiske behov. Men hvem i virksomheten skal sørge for bedre utnyttelse? Som et forslag til løsning anbefaler Nash at virksomheter oppretter en sentral funksjon for etterretningsledelse, en Chief Intelligence Officer (CINO), som rapporterer direkte til toppledelsen. Rollen er blant annet tenkt å utnytte fordelene av å være i ledergruppen til å skape et helhetlig etterretningsbilde, koordinere informasjonsbehov og harmonisere metodikk og prosesser. Målet er å gi ledelsen effektiv strategisk beslutningsstøtte.

Siden artikkelen ble publisert er CINO-modellen forsøkt implementert i flere amerikanske virksomheter. I vår samtale med Nash forteller han at implementeringen har vært utfordrende og med begrenset suksess. Med erfaringene fra USA vil det være fristende å legge ballen død, og ta en passiv tilskuerrolle i påvente av mer positive nyheter. Men her er også en mulighet for en aktiv tilnærming, og bidra til videreutvikling av et konsept som kan bygge bro mellom potensial og behov. Modellen er under utvikling, og må gjennom en modningsprosess.

Så vi spør oss: Kan CINO-modellen, eller en lignende rolle, bidra til å styrke beslutningsprosesser i norske virksomheter? For å komme nærmere et svar har vi intervjuet et utvalg norske virksomhetsledere, etterretningsanalytikere og sikkerhetsansvarlige om deres opplevelse av nåsituasjonen, behov og potensial for en sentral funksjon for etterretningsledelse. Utvalget representerer større, etablerte selskaper innenfor flere sektorer – herunder finans, teknologi, kraft og kommunikasjon. Intervjuene var semi-strukturerte, og kan ikke beskrives som vitenskapelige, men funnene setter lys på en lite omtalt problemstilling: Hvordan vet du som toppleder at du tar beslutninger på best mulig informasjonsgrunnlag?

Funn 1: Mange opplever et behov for tettere integrasjon mellom risiko- og etterretningsfunksjoner

Strategiske beslutninger blir i stor grad tatt basert på risikovurderinger. Kan økt samspill med etterretningsfunksjoner øke kvaliteten på risikoarbeidet?

Samtlige virksomheter vi intervjuet er opptatt av risikostyring, og tar strategiske beslutninger basert på risiko. Det er bred enighet om at risikostyring er nyttig for å skape helhetlige og sammenlignbare beslutningsgrunnlag på tvers av fagområder. Organisasjonene har også betydelig grad av funksjoner, roller og ansvarsfordeling knyttet til risikoarbeid. Enkelte har en sentralt plassert funksjon, for eksempel en Chief Risk Officer, mens andre legger i større grad styringen av risikoarbeidet til de ulike forretningsområdene.

Flere av virksomhetene med egne CTI-enheter har også sett behovet for å bedre utnytte trusseletterretning i risikoarbeidet. Behovet blir identifisert fra flere forretningsområder, både knyttet til CTI og risikostyring, og på ulike beslutningsnivåer. CTI-enheter savner dialog om ledelsens informasjonsbehov, og opplever å sende rapporter inn i «et vakuum» uten tilbakemeldinger fra mottakerne. Mottakere av trusseletterretning opplever på sin side at det er utfordrende å benytte informasjonen som beslutningsgrunnlag og inngangsverdier i risikoanalyser.

Det virker altså å være et gap mellom dagens situasjon og forestillingene om hvordan organisasjonene burde ha fungert. Dette dreier seg i hovedsak om et gap mellom fagmiljøer, særlig knyttet til risikostyring, sikkerhet og eksisterende etterretningsfunksjoner. Idealtilstanden inkluderer prosesser som i langt større grad drar nytte av samhandling, uten at dette får negative konsekvenser for effektiviteten i andre operasjonslinjer. Disse prosessene har som formål å sørge for at riktig informasjon treffer riktig beslutningsnivå til rett tid, og dermed skape fortrinn i beslutningsprosesser.

Eksisterende tiltak for å lukke gapet mellom fagmiljøene er i stor grad nybrottsarbeid, der ingen av de intervjuede mener å ha funnet en optimal form for samhandling. Flere uttrykker også at de savner en «beste praksis» å ta utgangspunkt i. Samtidig har enkelte funnet arbeidsformer som virker å delvis dekke behovene for tettere integrasjon. Dette har for eksempel inkludert prosesser for å «oversette» trusseletterretning til økonomiske termer, og innføring av koordinerende roller.

Funn 2: Utfordringene med CINO som konsept er også gjeldende i en norsk setting

Selv om CINO-konseptet i teorien vil gi betydelige fordeler for en virksomhet, virker det å være flere hindre på veien mot gevinstrealisering. Både Nash og de intervjuede norske virksomhetene er i stor grad samstemte om tre hovedutfordringer:

For det første vil etableringen av en ny funksjon på C-nivå medføre endringer i maktforhold og beslutningsprosesser i virksomheten. Motstand mot slik endring beskrives av Nash som hovedårsaken for at etableringsforsøk til nå har vært mindre vellykkede. Potensiell (oppfattet eller reell) overlapp med eksisterende roller, som Chief Information Officer eller Chief Risk Officer, vil kunne skape intern motstand mot etableringen.

For en CISO vil etableringen kunne oppleves som tap av kontroll over etterretningsressursene. Om initiativet i tillegg kommer fra CTI-funksjoner som i dag er underlagt CISO kan dette bli tolket som motivert av personlige karriereambisjoner. Gitt at innføring av en CINO innebærer en organisatorisk endring, vil god endringsledelse trolig være et suksesskriterium.

For det andre vil det være utfordrende å gi gode bevis for et positivt kost-nytte-regnskap i forkant av etableringen. I og med at konseptet er nytt finnes det lite presedens og konkrete eksempler. Usikkerheten rundt regnskapet vil dermed oppleves som høy. I tillegg vil det, i likhet med øvrig sikkerhetsarbeid, være utfordrende å finne hensiktsmessige mål på nytten når funksjonen er etablert.

Det er et kjent paradoks ved både sikkerhet og etterretning at det vanskelig lar seg bevise at negative hendelser faktisk ville funnet sted ved fravær av målrettede preventive tiltak. Virksomhetsledelsen må dermed akseptere en grad av usikkerhet ved etableringen, i visshet om at de muligens ikke vil få gode mål på nytten selv når funksjonen er aktiv. Denne usikkerheten kan i seg selv gjøre etableringen vanskelig å forsvare.

Den siste hovedutfordringen er knyttet til hvorvidt en mal for en CINO-funksjon fordrer et visst modenhetsnivå, spesifikke organisasjonsstrukturer, eller en bestemt organisasjonskultur hos virksomhetene. Samtidig som de intervjuede virksomhetene savner en «beste praksis», er det en bekymring for at konseptet blir for lite fleksibelt, og dermed enten ikke vil passe inn i organisasjonen eller kreve for store endringer. Intervjuene viste også at flere virksomheter også oppfattet seg selv som for umodne for de nødvendige endringene som ville kreves for linjefunksjoner og beslutningsprosesser.

Denne utfordringen dreier seg også om metode. Et konsept som går langt i å diktere etterretningsmetode, for eksempel med utgangspunkt i metoden benyttet av de nasjonale etterretningstjenestene, vil kunne gå på akkord med behovet for spesialtilpasninger og ulike tilnærminger i ulike deler av en virksomhet. I intervjuene var det stor spredning i synspunktene på hvorvidt Forsvarets etterretningsmetodikk i det hele tatt er egnet for privat sektor. Bekymringene var i stor grad knyttet til at metoden er for omfattende, rigid og ressurskrevende.

Funn 3: En fleksibel tilnærming til organisering kan være veien videre

Denne artikkelen forsøker ikke å gi en fasit på hvordan alle disse utfordringene bør løses. Men ønsker å gi et bidrag til en debatt som kan ta oss et stykke på vei.

Mens artikkelen til Nash beskriver én modell for hvordan CINO-funksjonen bør designes, trekker funnene fra intervjuene heller i retning av at det trolig ikke finnes en one-size-fits-all. Organisasjonsmodellen skissert i Figur 1 kan være et fornuftig mål for enkelte virksomheter, men ikke for alle. Noen vil ha et bevisst ønske om å beholde en mindre ledergruppe. Andre ønsker å bygge på allerede eksisterende funksjoner og mandater. For å møte utfordringene over kreves det trolig løsninger som er skreddersydd til hver enkelt virksomhet. Her kan det være rom for å lage et mer fleksibelt rammeverk for en CINO-funksjon.

Funnene fra intervjuene indikerer at norske virksomheter i stor grad er enige i flere påstander – eller målsetninger - som kan knyttes til en CINO. De mest sentrale er:

En virksomhet som er enig i disse påstandene, og ønsker å opprette en sentral etterretningsfunksjon for å arbeide videre med dette, bør ta stilling til noen sentrale retningsvalg for tilpasninger til sin egen organisasjon og mål. Spørsmålene under representerer et utvalg dimensjonerende variabler. I stedet for én satt «beste praksis» gir vi eksempler på ulike retningsvalg for å illustrere handlingsrommet.

Hvordan man svarer på disse spørsmålene vil danne grunnlaget for hvordan den spesifikke organisasjonen skaper sin løsning. Enkelte kombinasjoner vil lite sannsynlig være effektive i praksis (for eksempel vil det være lite hensiktsmessig med en funksjon med minimalt med ressurser som på egenhånd skal forvalte et fullt sett etterretningsprosesser), mens andre kombinasjoner kan være til inspirasjon for gradvis skalering av funksjonen eller nytenkning rundt organisering.

Fleksibiliteten kan gjøre modellen lettere tilgjengelig for mindre ressurssterke organisasjoner. Mens modne og ressurssterke virksomheter trolig vil oppleve større valgfrihet rundt implementasjonsmodell, kan også selv relativt nyoppstartede organisasjoner være tjent med å nærme seg de samme målsetningene. Et godt beslutningsgrunnlag kan være vel så avgjørende for en CEO i et lite selskap i vekst som for en leder hos en stabil markedsledende aktør. Slikt sett kan en sentral etterretningsfunksjon – om enn med begrensede ressurser – være en god investering.

Veien videre

Det er trolig mange ulike tiltak som kan bidra til bedre utnyttelse av etterretningsfaget for strategiske beslutninger i næringslivet. Organisatoriske tiltak er kun en del av dette bildet, og ikke et mål i seg selv. Samtidig fremstår nettopp justering av organisering som et tiltak som kan gi god effekt.

Vi tror både toppledere, etterretningsanalytikere og virksomhetene i stort vil være tjent med å knytte etterretningsfunksjoner nærmere ledergruppen for å gi bedre støtte til virksomhetsstrategiske beslutninger. Tanken om en sentral etterretningsfunksjon for dette – kanskje i form av en CINO – er verdt å forfølge. Dette er tanker vi i stor grad deler med etablerte virksomheter rundt oss. Den forenklede modellen over kan, med innspill fra fellesskapet, utvikles videre til et rammeverk som kan gjøre implementering enklere.

Samtidig mener vi flere av utfordringene rundt CINO-modellen må adresseres for at ikke implementeringen skal mislykkes. En mer fleksibel modell kan bidra til å forhindre friksjon. Av samme grunn bør beslutningen, og helst initiativet, om implementering komme fra øverste ledelse i virksomheten. En sentral oppgave fremover blir derfor å opplyse virksomhetsledere om hvordan en sentral etterretningsfunksjon kan være en god investering, og mer spesifikt hvordan etterretning kan bidra til bedre strategiske beslutninger. Den som bare hadde noen med etterretningskompetanse nær ledelsen…