Olav

Serien

Bevisbyrden

Sikkerhet er ikke lenger et internt forbedringsprosjekt. Det er et krav som må kunne dokumenteres, kontrolleres og tåle motpartens blikk.

juni 2026

Forsideillustrasjon: «Bevisbyrden»

Det er ikke lenger tilstrekkelig for en ledelse å uttale at de tar sikkerhet på alvor. De må bevise det operativt. Tiden der datasikkerhet kunne håndteres som et isolert ansvarsområde for en intern IT-avdeling, primært løst via faste policy-dokumenter og en subjektiv årlig risikovurdering, er utdatert. I moderne markeder styres presset av eksterne aktører: enterprise-klienter, forsikringsselskaper, teknologi-tilsyn og strengere europeiske lovgivere. Arkitekturen bak sikkerheten utgjør i dag den nødvendige forutsetningen for en virksomhets beviskjede.

Denne utviklingen er deterministisk. Den drives frem av to parallelle realiteter. For det første: konsekvensen av et vellykket angrep medfører nå lammende økonomiske og juridiske konsekvenser i hele forsyningskjeden. For det andre: profesjonelle motparter aksepterer ikke lenger muntlige garantier om at en leverandør har «ting under kontroll». Når enterprise-data, API-tilganger og kritisk leveransekapasitet forvaltes av en tredjepart, holder det ikke med etablert tillit. Tillit er et utilstrekkelig fundament for inngåelse av forretningsmessige rammeavtaler.12

Av denne grunn fungerer forsikringsmarkedet som et presist parameter på operativ modenhet. Olav underbygger dette med estimater som indikerer at 38 prosent av norske bedrifter er dekket av en cyberforsikring, mens 62 prosent opererer uforsikret.3 Statistikken peker på to harde realiteter. For det første illustrerer den at et massivt segment potensielt må absorbere en katastrofal tapsrisiko fullt ut internt. For det andre etablerer den forsikring som noe mer enn kun et finansielt instrument. Forsikring utgjør et arkitektonisk kvalifikasjonskrav. Forsikringsselskapene overtar utelukkende definert risiko. Dersom ledelsen ikke kan bevise operativt at nødvendige tekniske funksjoner er aktivert, påvirker det direkte underskrivningsprosessen og de endelige kostnadene.3

Det er her begrepet bevisbyrde materialiseres. I en operativ kontekst innebærer ikke bevisbyrde en garanti for at et innbrudd aldri vil inntreffe. En slik påstand strider mot ingeniørfaglig virkelighet. Det innebærer derimot å kunne fremlegge deterministisk dokumentasjon på systemets faktiske tilstand: en eksakt oversikt over kontoer, tilhørende privilegier, nivå av maskinvareforankret pålogging, immutabilitet i systemlogger, og verifiserbare sperrer som sto aktive på et gitt tidspunkt. Uten en rent etterprøvbar systemtilstand sitter en virksomhet utelukkende igjen med teoretiske forklaringer, aldri bevis.

Dette skillet er nådeløst når et angrep inntreffer. I kjølvannet av et penetrert system materialiserer alltid de nøyaktig samme spørsmålene seg: Kunne påloggingen kopieres? Fikk angriperen utnytte tilganger de ansatte egentlig ikke trengte for å gjøre jobben sin? Og finnes det sikre logger som beviser nøyaktig hva som skjedde? Dersom disse spørsmålene ikke besvares med objektive systemdata, reduseres virksomhetens posisjon umiddelbart overfor kunder, forsikringsaktører og rettssystemet.

For mange virksomheter vil disse spørsmålene bli umulige å besvare. Mørketallsundersøkelsen viser at selv blant virksomheter som hevder å ha et styringssystem for sikkerhet, vet seks av ti ikke hvilke standarder systemet egentlig bygger på.4 De lener seg på en illusjon om kontroll, fullstendig frakoblet tekniske realiteter.

Denne mangelen på teknisk kontroll møter nå en ny og brutal juridisk virkelighet. Introduksjonen av EUs NIS2-direktiv transformerer sikkerhetsstyring fra å være en IT-oppgave til å bli et formelt styreansvar.3 Den tilhørende Digitalsikkerhetsloven presiserer at manglende arkitektonisk kontroll på egen infrastruktur kan utløse personlig ansvar for ledelse og styremedlemmer.3

Formålet med denne lovgivningen er ikke å skape et abstrakt juridisk press, men å fjerne muligheten for ansvarsfraskrivelse. En ledelse kan ikke lenger skjerme seg bak klausuler om outsourcing, peke på underleverandører, eller skylde på at en ansatt klikket på feil lenke. Loven krever at styret aktivt forstår, godkjenner og kan dokumentere at virksomhetens digitale forsvar er proporsjonalt med risikoen de utsetter markedet for.

Dette inntreffer parallelt med mangel på dyp teknisk kompetanse i arbeidsmarkedet. Totalberedskapsmeldingen peker på et akutt fravær av ressurser, og forventer at hele 25 prosent av alle sikkerhetsstillinger vil stå åpne fram mot 2030.35 Følgelig er ideen om at virksomheter bare kan rekruttere inn et menneskelig forsvarsverk fullstendig utdatert. Når markedet ikke produserer tilstrekkelig analytisk kompetanse, må sikkerheten flyttes fra team og over til plattform.5 Løsningen eksisterer i deterministisk systemdesign, ikke i ansatte.

Dette er grunnen til at bevisbyrden primært er en designkonsekvens og ikke bare et compliance-krav. Operativ motstandskraft handler om å bygge kompromissløs arkitektur som nøytraliserer feil før angrepet inntreffer. En plattform bygget for å avvise manipulasjon genererer et kontinuerlig, eksakt datagrunnlag av egen systemtilstand. Dette mekaniske oppsettet beskytter kjernefunksjonen, og produserer i sanntid det objektive bevisgrunnlaget en virksomhet trenger for å forsvare sin posisjon overfor tilsyn og motparter.

Kravene om etterprøvbarhet oppfattes ofte som rigide og byråkratiske. Det er en feilvurdering av risiko. I fravær av teknisk bevisbarhet vil en virksomhet bli bedømt på fraværet av egen arkitektonisk kontroll. Ved et avvik fjernes fokuset raskt fra trusselaktøren, og vris i stedet direkte mot virksomhetens manglende styring. Systemsvikt peker i slike tilfeller direkte mot et styre som ikke implementerte teknologien som kreves for å bevise en operativ standard i forkant av et angrep.23

Det er denne nye realiteten som definerer moderne sikkerhet. Ikke frykten for innbruddet alene, men kravet om å kunne dokumentere hvordan virksomheten var bygget da innbruddet kom.

Kilder

  1. Risiko 2025: Et sikkert Norge i en usikker verden. Nasjonal sikkerhetsmyndighet (NSM).
  2. Meld. St. 9 (2022–2023): Nasjonal kontroll og digital motstandskraft for å ivareta nasjonal sikkerhet. Justis- og beredskapsdepartementet.
  3. Kildegrunnlag og estimater fra Olav. Inkluderer interne beregninger på cyberforsikringsdekning i Norge, samt NIS2-direktivet (EU 2022/2555) og Digitalsikkerhetsloven.
  4. Mørketallsundersøkelsen 2024. Næringslivets Sikkerhetsråd (NSR).
  5. Meld. St. 9 (2024–2025): Totalberedskapsmeldingen. Justis- og beredskapsdepartementet (gjengir studie fra NIFU, 2023).

Alle utgaver