Beredskabet er tilbage på jobbet

Hvordan driver man sin forretning videre, hvis dele af den kritiske infrastruktur falder ud? Det spørgsmål fylder mere i danske virksomheder. Kompetencer i uniform er kommet i højere kurs.

“Sørg for at have mad og vand til tre dage på lager.”

Det var uvante toner, da Beredskabsstyrelsen kort før sommerferien meldte ud, at danskerne skulle have nogle grundlæggende ting på plads, hvis vi en dag bliver ramt af et strømnedbrud eller en anden forsyningskrise.

I Danmark har vi i årtier fortalt os selv, at der ikke var nogen, der ville os noget ondt. Forestillingen om, at der var mørke kræfter eller ukendte trusler, der kunne lukke for strømmen, varmen, fødevareforsyningen eller andre former for kritisk infrastruktur, var simpelthen ikke en del af vores bevidsthed.

Men meget har ændret sig siden den 11. marts 2020. Det var dengang, da statsminister Mette Frederiksen i en direkte tv-udsendelse annoncerede, at Danmark lukkede ned for at få styr på Covid-19. I kølvandet på Covid-nedlukningen kunne billeder af Ruslands invasion af Ukraine, sprængte gasledninger i Østersøen, et tankskib på tværs af Suezkanalen og uro i Mellemøsten ryste vores forestilling om, at Danmark altid ville være det samme: stabilt, sikkert og forudsigeligt.

Beredskabet er igen på dagsordenen. Mens vi har brugt første halvår af 2024 på at fokusere på borgernes rolle, er tiden nu kommet til at fokusere på virksomhederne. Det mener Rasmus Dahlberg, lektor ved Institut for Strategi og Krigsstudier på Forsvarsakademiet. Han er med egne ord en forsker “med forkærlighed for krig, kriser og katastrofer.”

Lige før sommerferien udgav han sammen med en kollega bogen ’OBS – Oplysning til borgerne om samfundssikkerhed’, hvor han appellerer til, at vi i Danmark bør tage vores samfundssikkerhed meget mere alvorligt. Men han har også en oplevelse af, at danskernes krisebevidsthed er øget alvorligt – ikke mindst i virksomhederne.

“Jeg fornemmer meget stærkt, at virksomhederne er begyndt at tage deres rolle og opgave i vores beredskab alvorligt. Under Den kolde krig havde vi nogle ret solide beredskabsplaner og bedriftsværn ude på virksomhederne. Op gennem 90’erne og nullerne indkasserede vi derimod ikke kun en ‘fredsdividende’, men også en ‘beredskabsdividende’. Det er der kommet et helt nyt fokus på nu,” mener Rasmus Dahlberg.

Ud over at virksomhederne kommer til at have øget fokus på deres eget beredskab, kommer der også til at være fokus på, hvordan virksomhederne bidrager til samfundets samlede robusthed. Når vi fx taler om kritisk infrastruktur som vand, strøm, sundhedsvæsen og fødevareforsyning, er Danmark på godt og ondt præget af en masse små og mellemstore virksomheder.

“På nogle punkter er det udmærket og kan styrke robustheden med en masse små enheder. Men det gør det også svært at løfte sikkerheden. Mange mangler motivationen, hvis omkostningerne ikke står mål med risikoen for den enkelte virksomhed. Og omkostningerne kan blive større for samfundet end for den enkelte virksomhed, hvis vi fx har et lille vandværk, der bliver lagt ned af it-problemer,” siger Rasmus Dahlberg.

Han mener, at det skal være meget tydeligere, hvem der har ansvaret for virksomhedernes robusthed i en krisesituation – og at det i sidste ende er et spørgsmål om mere regulering og klarere regler og jura.

“Særligt i små og mellemstore virksomheder er det ofte uklart, hvem der har ansvaret for beredskabet. Så lander ansvaret ofte hos den enkelte ildsjæl. Vi kender alle sammen typen, der sidder i en virksomhed og er lidt bekymret og kæmper for den årlige brandøvelse. Måske kender vi også lederen, der ikke rigtigt gider at deltage og er uengageret, fordi det koster penge. En stor del af problemet med at arbejde med beredskab er, at afkastet af investeringen er usynligt. Det er svært at beregne værdien af ting, der ikke sker,” siger Rasmus Dahlberg.

Ifølge Rasmus Dahlberg kan det have stor værdi at have folk ansat med erfaring fra Forsvaret, når man arbejder med beredskab i virksomhederne. I Forsvaret er man flasket op med, at beredskab har en værdi. Faktisk er det helt centralt i alt, hvad man laver.

“Der er ingen tvivl om, at når man har været i uniform, så lever og ånder man for beredskab. I en organisation som Forsvaret ser man beredskabet som en nødvendig investering i fremtiden, hvilket man af naturlige grunde ikke altid gør i erhvervslivet. Men der er også nogle helt konkrete kompetencer, som i stigende grad vil blive efterspurgt: Hvordan man laver en beredskabsplan? Hvordan man laver en øvelse? Hvordan arbejder man med scenarier? Hvordan man har en kommandostruktur?” forklarer han.

Lige præcis de kompetencer har Christian Fredberg fra virksomheden Firmaberedskab arbejdet med i en årrække. I 2014 stiftede han Firmaberedskab, der har til formål at skabe sikre modstandsdygtige og robuste danske virksomheder. Han bruger rigtig mange arbejdsredskaber fra Forsvaret, når han gennemgår og afprøver robustheden hos kunderne.

“Hvis du er uddannet i Forsvaret som befalingsmand eller officer, er du uddannet i at lede organisationer under pres. Du er uddannet til at arbejde i det maksimale pres, et menneske kan komme under: Du skal udføre din opgave, mens der er nogen, som skyder på dig og prøver at slå dig ihjel. Måske med undtagelse af politiet er der ingen andre, der har trænet i et arbejde under så stort et pres,” fortæller Christian Fredberg, der ud over at være direktør i Firmaberedskab også er reserveofficer – og ambassadør for InterForce.

Han understreger, at virksomhederne netop kan have glæde af at have medarbejdere med tilknytning til Reserven eller Hjemmeværnet, når man arbejder med beredskab. Fordi de har ”et ben i hver lejr”.

“Vi arbejder med at oversætte de her kompetencer til civilt. For selvfølgelig kan vi ikke kopiere måden at kommunikere og arbejde på direkte over i det civile. Det kræver tilpasning til den enkelte virksomhed,” siger Christian Fredberg. Han genkender også, at virksomhedernes lydhørhed og engagement i forhold til beredskab har været støt stigende siden Covid-19.

Det er dog ikke kun truslen udefra, der har sat beredskab på dagsordenen. Danmark er på godt og ondt et af verdens mest digitaliserede lande. Det har grebet så omfattende ind i vores hverdag, at vi har svært ved at forestille os en verden uden internet og digitale tjenester. Både i hverdagen, og når virksomhederne planlægger forskellige scenarier for fremtiden.

“Det er ikke ret lang tid siden, at vi så et stort strømnedbrud på en stor offentlig virksomhed, hvor beredskabsplanerne lå på en computer. Dørene låste automatisk, og det stod i beredskabsplanerne, hvor reservenøglerne lå. Det er langt fra enestående. Det er så indarbejdet, at vi har adgang til vores IT-systemer, at vi ikke kan forestille os alle de udfordringer, det giver, når det ikke virker. Man er simpelthen nødt til at afprøve de her ting i en øvelse, før det bliver virkelighed,” siger Christian Fredberg, der igen vender tilbage til, at det er kompetencer, man lærer i Forsvaret.

“Når vi arbejder med mortérer, lærer alle i Forsvaret at regne vinklen og de ballistiske baner ud manuelt. Selvfølgelig findes der masser af programmer, der kan regne det meget mere præcist og hurtigt ud. Men det ligger i tankegangen, at der kan være en masse årsager til, at man ikke har adgang til nogle former for IT. Sådan tænker man bare ikke i resten af samfundet. Vi har vænnet os til, at man altid har adgang til alting,” siger Christian Fredberg.

Han understreger, at løsningerne ofte er meget jordnære, men ikke altid lette at identificere. F.eks. at sørge for at have en opdateret version af beredskabsplanen liggende – på print.

“Vi laver mange øvelser med vores kunder. Som militærpersoner ved vi, at en beredskabsplan bare er et stykke papir i en skuffe, hvis ikke man øver sig på det,” siger Christian Fredberg. Han oplever, at der også er en øget åbenhed om beredskab og sikkerhed, efter at vi har set store virksomheder blive lagt ned af IT-nedbrud.

“Traditionelt er der ingen virksomheder, der bryder sig om at tale om deres sårbarheder. Det har tidligere været lidt et tabu. Men hvis man ser, at en virksomhed som Mærsk kan blive lagt ned i flere dage af et IT-nedbrud, er der også flere små og mellemstore virksomheder, der er klar til at tale om, at det kan ske for dem – og forberede sig på det,” slutter han.

A.P. Møller-Mærsk blev i juni 2017 ramt af et omfattende cyberangreb, kendt som NotPetya. Det lammede virksomhedens IT-systemer globalt. Angrebet førte til betydelige forstyrrelser i virksomhedens logistikoperationer og kostede Mærsk op mod 2,5 milliarder kroner.

Selvom det ikke medførte et decideret nedbrud, gav det dybe panderynker, at det i maj 2023 lykkedes hackere at få kontrol over IT-systemerne i 22 selskaber, der bl.a. forsyner danskerne med el og varme. IT-systemernes firewall var blevet åbnet af en fejl i en opdatering fra firmaet Zyxel. Men ifølge SektorCERT, der varetager IT-sikkerheden for flere danske selskaber inden for kritisk infrastruktur, tyder alt på, at der var fremmede magter, der ville afprøve robustheden af vores kritiske infrastruktur. Helt konkret nævner SektorCERT hackergruppen Sandworm, der hører under den russiske militære efterretningstjeneste GRU.

Der var tale om en banal fejl i en opdatering for det amerikanske cybersikkerhedsfirma CrowdStrike, der midt i sommerferien skabte overskrifter i medierne og nedbrud i flere lufthavne. Med et nedbrud på omkring 8,5 millioner Windows-computere verden over viste sommerens globale computernedbrud med al tydelighed vores globale sårbarhed. Både i Københavns Lufthavn og i Billund var man en overgang nødt til at tjekke passagerer ind manuelt. I forhold til andre lande slap Danmark dog billigt gennem det store IT-nedbrud.

Læs også: Udsendt med Hjemmeværnet