Norges sikkerhetstilstand – en årsaksanalyse av mangelfull forebyggende sikkerhet
Abstract
Nasjonal sikkerhetsmyndighet (NSM) har i en årrekke rapportert at Norges sikkerhetstilstand er lite tilfredsstillende, og i de senere år har gapet mellom truslene vi står overfor og tiltakene som er ment å beskytte oss mot dem økt. Denne rapporten kartlegger og vurderer årsakene til at norske virksomheter ikke ivaretar den forebyggende sikkerheten på en tilfredsstillende måte. En bedre forståelse av årsakene kan bidra til å styrke virksomhetenes oppfølging av eget sikkerhetsarbeid, og derav samfunnets totale evne til å oppdage og reagere på sårbarheter og sikkerhetstruende hendelser.
Det har blitt gjennomført en håndfull delanalyser, designet for å ta høyde for at årsaker konseptualiseres og presenteres ulikt i forskjellige kretser. Eksempelvis, den faglige debatten om det forebyggende sikkerhetsarbeidet kan tenkes å avvike fra den allmenntilgjengelige debatten i media. Viktige kilder inkluderer NSMs rapporter om sikkerhetstilstanden, og et utvalg av tilsynsrapporter som beskriver avvik og observasjoner NSM har avdekket gjennom sin tilsynsvirksomhet. Prosjektets medarbeidere har også deltatt på tilsyn som observatører for å samle inn empiri til denne studien. I tillegg har vi gjennomført intervjuer med relevante aktører. Det har videre blitt gjennomført en medieanalyse av i overkant av 200 nyhetssaker for å fange opp mediedebatten rundt forebyggende sikkerhet. Til slutt har det blitt gjennomført en analyse av forholdet mellom sektorovergripende lovgivning for forebyggende sikkerhet (sikkerhetsloven) og sektorspesifikt lovverk innen samme tema. Som metodisk fremgangsmåte har dokumentanalyse og kvalitativ innholdsanalyse blitt benyttet i de totalt fem delanalysene.
For å bedre det forebyggende sikkerhetsarbeidet på en helhetlig og hensiktsmessig måte må norske virksomheter arbeide både kortsiktig og langsiktig med å bedre sikkerheten. På den ene siden bør det fokuseres på det området hvor vi faktisk kan utgjøre en forskjell på kort sikt. Eksempelvis bør det fokuseres mer på dokumentasjon av det forebyggende sikkerhetsarbeidet, for å sikre etterprøvbarhet og bevare kontinuiteten i sikkerhetsarbeidet når kritisk sikkerhetspersonell skiftes ut. Det bør også innarbeides bedre rutiner for rapportering og håndtering av sikkerhetstruende hendelser, gjennomføres øvelser innen forebyggende sikkerhet, arbeides for å øke ansattes forståelse om viktigheten av sikkerhetsklarering og autorisasjonssamtaler, og utvikle rutiner for å sikre kontinuerlig kontrollaktivitet i virksomheten. Slike tiltak kan på kort sikt styrke sikkerhetstilstanden i de fleste virksomheter underlagt sikkerhetsloven.
Samtidig må det arbeides langsiktig med å rette opp i fundamentale årsaker, som for eksempel å bedre «sikkerhetskulturen» i virksomheten. Men det ligger i selve begrepet «kultur» at dette ikke er noe som kan endres raskt på. Ledere må engasjere seg mer i sikkerhetsarbeidet og ha tettere dialog med sikkerhetsorganisasjonen. Dette er helt avgjørende for å sikre at det bevilges ressurser som tar høyde for det aktuelle risikobildet. Økt fokus på sikkerhet på ledelsesnivå kan dessuten bidra positivt ved å øke sikkerhetsbevisstheten i virksomheten totalt sett. Det sentrale fremover blir å se årsakskompleksiteten som en helhet og tillegge alle områdene tilstrekkelig vekt. The Norwegian National Security Authority (NSM) has for several years reported that the state of affairs in Norway’s security systems is unsatisfactory. In latter years, the gap between security threats and the protective security measures aiming to protect our society has increased. This report sets out to chart the underlying causes why Norwegian state agencies and companies fail to safeguard their protective security. The end goal is to contribute towards Norwegian companies’ improved efforts to safeguard their own protective security, and, in turn, to make a contribution towards betterment of Norwegian society’s overall ability to detect vulnerabilities and adequately respond to security threats.
We have carried out a number of analyses designed to account for the complexity of underlying causes, which may well be conceptualised and presented differently in various milieus (e.g. the academic debate on protective security vs. media coverage). Important sources for this study include annual reports on the state of affairs in Norway’s security systems published by the NSM and a selection of reports from NSMs inspection activities that relay the state of protective security measures in the agencies and companies in question. The researchers have also observed inspections as a source of further empirical evidence for current project. This has been supplemented with semi-structured interviews. The project also included a media analysis of upwards of 200 relevant news stories. Finally, the project also compared the Norwegian Security Act (Law on the Protective Security Services) and laws that regulate protective security in specific sectors.
Norwegian state agencies and companies must undertake both short- and long-term measures to improve their protective security in a comprehensive and timely manner. On the one hand, focus should be directed on areas where security measures can make differences in the short term. For example, documentation of protective security measures will ensure verifiability and continuity when key security personnel leave. Other measures that should be established include better procedures for reporting and dealing with security-threatening events, exercises to test their security plans, and efforts to improve employee understanding of the importance of security clearance and authorization. In addition, the agencies and companies should also adequately control and revise their protective security system. These measures should strengthen the security systems in most agencies and companies subject to the Norwegian Security Act in the short term.
Simultaneously, long-term work must be done to correct the fundamental causes of the unsatisfactory security systems, such as improving the «security culture» in agencies and companies. However, the very concept of «culture» cannot be changed quickly. Leaders should be more involved in safeguarding the protective security, and cooperate closely with the security organization. This is essential to ensure that resources are distributed according to the needs of the risk situation. Involving leaders can also contribute positively, by increasing security awareness overall. Going forward, the key will be to see the causal complexity as a whole and ensure sufficient coverage of all areas.