Sikkerhet nr. 4 / 2011

F
4
2011
Næringslivets
sikkerhetsorganisasjon
Næringslivets
Sikkerhetsråd
Foto: Karoline K. Åbyholm
Nytt utpressingsfenomen
m 16 m 28 Kom med innpill til forskriften!
m 24 Øver dere…? Sivilforsvaret 75 år
m8
Ketil Larsen Sækingstad har fått kjenne tiger-kidnapping
på kroppen. Les hans utrolige historie og andre artikler i
anledning Sikkerhetskonferansen 2011.

Fagseminar 2011
Som grevinnen og hovmesteren
sier vi, Same procedure as every
year:
Beredskapsinteresserte samles
på Rica Park Hotel i Sandefjord
første uka i desember for faglig
påfyll, presentasjon av aktuelt
materiell og sosialt samvær.
Program og betingelser kommer
i neste Sikkerhet og på nso.no,
men førstehjelp, brannvern og
denne gangen ny forskrift, blir
garantert en del av innholdet.
Sett av dagene og forbered din
jobbreise 6. og 7. desember:
Da er du i Sandefjord!

Innhold
Nr 4 • 2011 • Årgang 57
ISSN 0805-6080 • Organ for
Næringslivets sikkerhetsorganisasjon og
Næringslivets Sikkerhetsråd
Besøksadresse: Essendrops gt 3, Majorstua, Oslo
Postboks 5468 Majorstua, 0305 Oslo.
Tlf.: 23 08 85 30
e-post: sikkerhet@nso.no
www.nso.no/bladet_sikkerhet
Utgiver:
Konst. redaktør: Harald Bergmann
«Sikkerhet» innestår ikke for det faglige innhold
i signerte artikler.
Redaksjonen ble avsluttet 15. august.
«Sikkerhet» nr. 5–2011 kommer i uke 43.
Innlegg må være redak sjonen i hende senest
3. november. Utgivelsesplan på nest siste side.
Abonnement: Kr. 350/år.
Tilleggsab. medlemmer: kr. 175/år.
Annonser: Arne Gustafson Grafisk Freelance
Tlf.: 69 27 01 88 / 93 02 67 37
e-post: agustaf@online.no
©NSO2010 Føresegnene i åndsverklova gjeld for materialet i Sikkerhet.
Utan særskild avtale med NSO er all eksemplarframstilling og tilgjengeliggjering
berre tillate så langt det har heimel i lov eller avtale med
Kopinor, interesseorganisasjonen for rettshavarar til åndsverk.
Artikler
8 Tiger-kidnapping til Norge?
9 Velkommen til høsten og Sikkerhetskonferansen!
10 Konsumentprodukter i bedriften
11 Ullen trussel
12 När staten är kriminell
13 Rektrutteringssikkerhet i Statoil
14 Dyr spionasje
16 «Sociale» utfordringer
18 Fra detaljkrav til funksjonskrav – hva mener du?
19 Risikovurdering er nøkkelen
20 Savner balanse mellom myndighetskrav og egenpålagte krav
21 Økt sikkerhet med ny forskrift
21 Motiverende med beredskap etter behov
22 Imponerende industrivern
28 75 år med Sivilforsvaret
Faste spalter
4 På den sikre siden
6 Smånytt
24 i NSO-fokus
25 Spørrespalten
31 Aktivitetskalenderen
Hjertevakten ® as
Hjertestarter
Nedre Gjerde 10, 5474 Løfallstrand.Tel:53 48 20 50 Fax:53 48 20 60 E-post:hlr.post@hjertevakten.no
Hjertestartere følger Norske retningslinjer
Helkropps- redningsdukke med realistisk vekt
De robuste Tuff Kelly
modellene veier det samme som
en voksen person, og er meget
velegnet til bruk i forskjellige
opplæringsscenarier for å
lære rednings - og
evakueringsteknikker.
kr. 20. 110,-
Heartstart
Pris: 15 500,- kr. 14 900,-
Ideelle for hjemmet, kontorlandskap
og hotell
Dette er verdens
mest solgte starter !
Heartstart FRx
Pris: 18.900,- kr. 16 900,-
Den ideelle hjertestarteren for
skipsfarten, i svømmehaller,
produksjonslokaler og andre
steder med stor fuktighet.
Heartstart FR3
Erstatter FR2, spesielt godt
egnet til ambulansetjeneste og
brannvesenet.
Denne starteren tåler mye.
Klar for levering i 4.kvartal
NY
Pris basis kr. 19 500,-
med EKG kr. 27 500,-
Veggskap Pris kr. 2 356,-
AED veggskap, basis modell.
Skapet er med alarm. Passer til
alle hjertestartere
Dukker for realistisk livredningstrening
Resusci Anne std. i koffert kr. 8.262,-
m/skillguide, helkropp kr. 11.036,-
m/skillrapporter, torso kr. 21.144,-
Res. Anne Simulator kr. 63.864,-
Lille Anne
kr. 1.621,-
4 pakning
kr. 5.727,-
MiniAnne kr. 330,-
Komplett personlig, effektiv opplæringspakken
som inneholder:
•En MiniAnne øvingsdukke •En instruksjons DVD
• En repetisjons folder • En papp telefon
• Renseduk og ekstra lunger
Pusteduk for trening
1 rull kr. 127,50
1 pk. à 6 ruller kr. 618,-
Fullstendig oversikt finner dere på: www.hjertevakten.no alle priser er oppgitt eks mva
www.nso.no
SIKKERHET nr. 4 • 2011 3

På den sikre siden
Alltid beredt
Karoline K. Åbyholm
REDAKTØR
Man kan aldri være 100 prosent forberedt
hele tiden. Bomben og massakren i Oslo
og på Utøya 22. juli er eksempeler på dette.
Ingen kunne forutse omfanget av hendelsene
og ingen kan heller vite hva konsekvensene
blir i årene fremover. 77 mennesker måtte bøte
med livet og flere ble skadet. For ikke å snakke
om alle som ble psykisk rammet av tragedien.
Politi, brannvesen og helsepersonell jobbet i
dagene og ukene etter på spreng for å begrense
skadene, og gjorde en heltemodig og god innsats.
Sammen med politikere og resten av Norges
befolkning gjør de fortsatt sitt beste for
å stå sammen i den vanskelige tiden. Når det
virkelig smeller, er man avhengig av at alle vet
hva de skal gjøre og faktisk gjør jobben sin.
Er det noe 22. juli har vist oss, er det at samhold
og beredskap er to viktige faktorer når
katastrofen er et faktum.
Politiets Sikkerhetstjeneste (PST) har i etterkant
av hendelsen fått pepper for å ikke ha
fattet mistanke mot den siktedes bevegelser på
Internett. Dagens Næringsliv skriver at PST
nå jobber med å finne ut hvordan den siktede
kunne operere «under radaren».
22. juli viser oss at dersom en enkeltperson
ønsker å gå ubemerket hen med skumle hensikter,
er ikke dette umulig dersom man er
«Er det noe 22. juli har
vist oss, er at det samhold
og beredskap er to viktige
faktorer når katastrofen
er et faktum»
oppmerksom på de digitale sporene man legger
igjen. Men dersom det er større, tydeligere og
flere aktører det er snakk om, er dette straks
vanskeligere. I takt med antall mennesker med
bredbånd-kabel inn i huset, vil nok også antall
forsøk på datakriminalitet, svindel og forsøk på
ulovligheter øke. Datakriminelle og svindlere
vil alltid ta i bruk virkemidler for å skjule sin
aktivitet.
For å bekjempe terror, kriminalitet og svindel
er det viktig å lære om mulige risikoer og fallgruver.
Vi må først og fremst erkjenne at slike
hendelser kan skje. På den måten er vi bedre
forberedt når det virkelig smeller.
Eksperter på samfunnssikkerhet
og krisekommunikasjon
Per Inge Hjertaker
Partner
per.hjertaker@headvisor.com
Tlf. 917 29 682
w w w. h e a d v i s o r. n o
Hans-Petter Fagerli
Partner
petter@headvisor.no
Tlf. 902 00 900
4 SIKKERHET nr. 4 • 2011 www.nso.no

BEREDT?
Farlig støy
Årlig får Arbeidstilsynet nesten 2.000 meldinger
om arbeidstakere som har fått støyskadd hørsel.
Mange blir først meldt etter flere tiår, men det er også
nyoppståtte skader her. Antallet har ligget stabilt siden
1990-tallet. Dagens støygrenser ble foreslått av en ekspertgruppe
i 1978. De vurderte datidas tekniske muligheter,
støynivået i bransjene og kostnadene ved støyreduksjon,
og satte maksimumsgrensa til 85 desibel. Det
tilsvarer støy som er så sterk at du må heve stemmen for
å snakke til andre på kloss hold.
4.000 per ansatt
De anslo at det ville koste 4.000 kroner per ansatt å innføre
de nye grensene over en femårsperiode. Det ble
vurdert som realistisk for det aller meste av arbeidslivet,
med unntak for 3-4 prosent av industriarbeiderne. Disse
måtte beskyttes med personlig hørselvern, jobbrotasjon
og kortere arbeidstid. Hvorfor sier ikke bare 4 prosent,
men 16 prosent av de industriansatte tretti år seinere at
de er utsatt for sterk støy det meste av arbeidstida?
Lite kartlegging
Arbeidsgiver skal vurdere risikoen for støyskader i bedriften.
Det hjelper lite hvis de ikke kan noe om det, og
derfor heller ikke vet hva de skal spørre om. Få støyutsatte
bedrifter har regelmessig kartlegging og reduksjon
av støynivået over tid, slik reglene sier de skal. I stedet
får de ansatte propper og klokker, og alt dreier seg om
at de må bli «flinkere» til å bruke dem. Men typevalget
er tilfeldig, og det er sjelden individuell tilpasning eller
opplæring i bruk. Dermed gir vernet bare falsk trygghet.
Uten støykunnskap i bedriftene, vil ikke tallet på støyskader
gå ned.
Artikkelen er publisert på www.arbeidstilsynet.no
NISIK
- din totalleverandør av:
• Opplæring og øvelser
• Materiell
• Rådgivning
• ROS
Vi har gode erfaringer med å gjennomføre
kurs og andre aktiviteter ute hos kunden
NOEN AV KURSENE VI TILBYR:
Grunnopplæring 24 timer mannskap
26-28. september, Jæren
12-14. desember, Jæren
20-22. februar 2012, Jæren
Utvidet Sanitet.
24-25. oktober, Sunnhordland
30. november og 1. desember, Jæren
Orden og Sikring
15. november, Jæren
Røykdykking grunnkurs og repetisjon
og andre bedriftsinterne kurs på forespørsel.
Besøk oss gjerne på www.nisik.no
for info og terminliste
TLF. TORE 915 10 223 - KJELL 480 39 023
www.nso.no
SIKKERHET nr. 4 • 2011 5

Smånytt
Ny kodelås fra Fibex AS
Fibex AS lanserer kodelåsen A04,
en kodelås for innen- og utendørsmontasje
i robust metallkapsling.
Låsen er lett å programmere med
kun fire funksjonsknapper på fronten.
Kodelåsen har innebygd høyttaler
som gir lydindikering ved tastetrykk
under programmeringen.
Releet er meget solid, og går ikke an
å påvirke med vibrasjoner eller
magnet.
Armbånd kan gi
tryggere evakuering
Evacuaid PRO har kommet med en nytt nødarmbånd for raskere
og tryggere evakuering. Man tar armbåndet på for å
aktivere det, og man kan deretter finne veien ut ved hjelp av
LED-lampene på armbåndet. Da har man begge hendene fri
til å hjelpe andre eller utføre andre oppgaver. Hvis brukeren
blir slått ut blir alarmen automatisk utløst.
Foto: Fibex AS
Unge menn
mest skadeutsatte
Menn i alderen 15-24 år skader seg dobbelt så ofte som
menn over 45 år. Det viser tall fra Arbeidskraftundersøkelsen
som SSB gjennomførte i 2007, skriver Regelhjelp.
no.
I juni inviterte Arbeidstilsynet og Fondet for regionale
verneombud i bygge- og anleggsbransjen til
konferanser om unge arbeidstakere. Det ble presentert
forsknings- og erfaringsbasert kunnskap om unge arbeidstakere
i bransjen det er størst risiko for å bli skadet
– nemlig bygge- og anleggsbransjen.
Foto: Evacuaid
Se demonstrasjonsvideo og les mer om produktet på
www.evacuaid.com.
Norsk Skog i gang etter brann
Et anlegg ved Norske Skog Saugbrugs AS i Halden har vært
delvis nede etter en brann i februar. I slutten av juni startet
de full produksjon igjen.
2. februar ble det termomekaniske masseanlegget, som
forsyner papirmaskinene ved Norske Skog Saugbrugs, skadet
i brann. All produksjon ved fabrikken ble stanset som følge
av brannen.
Trygghet i lomma!
For 17 kroner er hjelpen et tastetrykk unna!
Trygghetsapplikasjonen «Redningsselskapet» er nå tilgjenglig
både for Apple iPhone og andre smarttelefoner. Med denne
kan du finne posisjonen din dersom du får motorstopp
på sjøen, og på kartet kan du se hvor nærmeste aktive redningsskøyte
er.
– Applikasjonen har blitt utrolig populær. Vi gjør dette
for å senke terskelen for å ta kontakt med Redningsselskapet
dersom man kommer i vansker i sjøen. Samtidig gir det
båtfolket en ny mulighet til å støtte opp om det viktige sjøsikkerhetsarbeidet
som redningsskøytene gjør, sier kommunikasjonssjef
Ernst Larsen i Redningsselskapet.
I denne bygningen brant det i februar i år, men i juni startet Norske Skog
Saugbrugs full produksjon. Bildet er tatt under oppryddingen i slutten av
februar. Foto: Karoline K. Åbyholm
6 SIKKERHET nr. 4 • 2011 www.nso.no

Smånytt
– Bedrifter kan droppe kodebrikken
Nå er det slutt på kodebrikker og kostbare autentiseringsløsninger
for bedrifter som vil gi de ansatte systemtilgang
uten å gå på kompromiss med sikkerheten. Buypass Code er
en norskutviklet løsning som ved hjelp av en egen mobilapp
gir sikker autentisering av brukeren. Løsningen er den første
i sitt slag i det norske markedet, og støtter alle typer mobiltelefoner.
Appen lastes ned gratis og er knyttet opp mot en
bedriftsspesifikk løsning. Ved hjelp av appen mottar brukeren
en engangskode på mobilen for sikker autentisering ved
pålogging.
Store besparelser
– Vi ser at mange bedrifter i dag bruker store ressurser på
å opprettholde det nødvendige sikkerhetsnivået knyttet til
autentisering mot egne systemer. Vi har utviklet en løsning
som vil gi store besparelser
i håndteringen av autentiseringsområdet,
samtidig
som sikkerheten er
ivaretatt på høyeste nivå,
sier Gunnar Lindstøl, administrerende
direktør i
Buypass.
Buypass er leverandør
av ID- og e-signaturtjenester
til ID-porten, og
leverer markedets ledende
smartkortløsning til blant
annet Norsk Tipping.
For mer informasjon se
www.buypass.no.
En ny mobilapp fra Buypass kan erstatte
kodebrikker. Foto: Buypass
– Nødvendig utbygging av nødnettet
Utbygging av Nødnett er en nødvendig investering for å
styrke beredskapen og samfunnssikkerheten vesentlig. Det
skriver Direktoratet for samfunnssikkerhet (DSB) i en pressemelding
12. juni i følge redningsnett.no.
– God investering
Nødnett fungerte for brannvesenene og 110-sentralene da
Telenors nett var nede i starten av juni.
– Nødnett er en god investering for fremtiden, og har
ved flere anledninger gjennomført innsatser med omfattende
bruk av mobiltelefoni. Derfor er Stortingets vedtak om å
innføre Nødnett over hele landet historisk viktig, sier avdelingsleder
Hans Kristian Madsen i DSB.
– Bedre systemer
Han mener det langvarige utfallet av Telenors mobilnett viser
hvor sentralt det er å få på plass et kommunikasjonsnett
som fungerer uavhengig av mobilnettet.
– Samfunnssikkerhet og beredskap kan ikke bygges på så
stor grad av usikkerhet, det trengs mer robuste systemer og
flere ben og stå på. Nødnett vil bidra til å berge liv og helse,
og det øker sikkerheten for innsatsmannskaper betydelig, sier
Madsen.
Nytt håndholdt termisk kamera
Presisjons Teknikk AS lanserer nå et håndholdt termisk kamera
som kan detektere en person på nærmere 2,5 km i dårlig
sikt og mørke. FLIR BHS er en helt ny serie termiske
kameraer, spesielt utviklet for å lokalisere og finne personer
m.m. under alle lys- og værforhold på avstander helt opp til
2.450 meter.
Kameraene kan leveres i forskjellige utgaver tilpasset
ulike bruksområder, som for eksempel politi og vektertje-
Begge foto: Presisjons Teknikk AS
nester, eller til bruk innen forsvaret. FLIR BHS er vanntett,
veier under 1 kg, har lang batteritid og kan lagre bilder og
video på SD-kort. Det er derfor velegnet i alle situasjoner av
overvåking eller søk og redning ved dårlig sikt.
Ytterligere informasjon fås ved å kontakte Presisjons
Teknikk AS: www.ptnordic.no / post@ptnordic.no.
www.nso.no
SIKKERHET nr. 4 • 2011 7

Sikkerhetskonferansen 2011
Tiger-kidnapping til Norge?
Når man håndterer verdier av et stort omfang vil man alltid være et attraktivt mål for kriminelle.
Av: Ketil Larsen Sækingstad,
Risk/Security Manager i Loomis Norge AS
Som tidligere politimann og narkotika
etterforsker fikk jeg og min
familie føle hvordan det oppleves
å være utsatt for en reell trussel og
hvordan en slik hendelse påvirker
hverdagen til en familie. Situasjonen
var anspent og i løpet av en periode
på rundt to år hadde vi flere dekkadresser
både i og utenfor Norge. Vi
har hatt vakthold av politi både inne
og utenfor egen bolig, politieskorte
til skole, barnehage og arbeidssted.
Etter å ha solgt boligen vår og flyttet
til et nytt sted med hemmelig adresse
og telefon, måtte vi ta et valg. Er
det slik vi ønsker å leve? Et liv i det
skjulte hvor vi hele tiden måtte se
oss over skulderen? For meg som
bare hadde gjort jobben min føltes
det veldig urettferdig at min familie
og meg selv måtte leve et slikt liv, i
konstant frykt og redsel.
«For meg som bare hadde
gjort jobben min føltes
det veldig urettferdig at
min familie og meg selv
måtte leve et slikt liv, i
konstant frykt og redsel.»
Måtte slippe taket
Ketil Larsen Sækingstad
Vi bestemte oss for å leve, og med å
leve mente vi «etter våre egne prinsipper».
Vi ville ikke leve i frykt
lenger. Vi måtte slippe taket og sette
pris på hverdagen igjen. Fra den
dagen har vi levd et godt liv igjen,
men har selvfølgelig tatt noen forhåndsregler.
Jeg har ofte stilt meg
spørsmålet om hvorfor dette skjedde
Ketil Larsen Sækingstad,
Risk/Security Manager i Loomis Norge
AS. Ketil har utdanning både fra forsvaret
og politiet. Han har mange års erfaring
både fra Oslo politidistrikt, Kripos
og Moskenes og Flakstad lensmannskontor.
akkurat med meg. Hva var det med
denne saken som var så spesiell og
kunne den saken jeg hadde ha blitt
løst på en annen måte, slik at dette
ikke hadde skjedd?
Attraktivt mål
I dag jobber jeg som Risk/Security
Manager i Loomis Norge AS. Vi leverer
kontanthåndteringstjenester
gjennom våre verditransporter og
tellesentraler som er spredt rundt om
i hele landet. Vår tjeneste er hovedsakelig
rettet mot banker, detaljhandelskjeder
og frittstående butikker
hvor vi tilbyr våre kunder en sikker
og effektiv håndtering av all fysisk
kontantstrøm i deres virksomhet.
Loomis Norge AS er en del av
konsernet Loomis AB som har rundt
20.000 ansatte fordelt i 15 europeiske
land, samt i USA. Som en del
av et større konsern får vi kunnskap
om og høster erfaringer fra hva som
skjer i andre land, så også innenfor
temaet «tiger-kidnapping». Når vi
håndterer verdier av det omfang vi
gjør vil vi alltid være et attraktivt
mål for kriminelle.
Loomis AB som konsern gjennomfører
en egen opplæring etter
samme mal i alle land hvor de er
representert, og som Risk/Security
Manager for Loomis Norge AS er det
jeg som har dette ansvaret i Norge.
Basert på min egen erfaring samt
de erfaringer jeg har tilegnet meg
gjennom den kunnskap som finnes i
konsernet har interessen for forebygging
av slike hendelser for meg vært
svært høy.
«Tiger-kidnapping»
Tiger-kidnapping er en form for kriminalitet
vi sjelden snakker om i det
norske næringslivet. For oss i Norge
kan det synes som dette er et noe
«ukjent» fenomen, mens andre steder
TIGER-KIDNAPPING
Tigernapping, som det også benevnes,
innebærer at familiemedlemmer
eller pårørende blir kidnappet
mens en i familien blir presset til
å overføre penger/ta ut penger fra
egen kapital eller virksomhetens
ressurser.
Dette er noe som skjer i flere europeiske
land, og den senere tiden
har vi sett tendensen til at det er
internasjonale aktører bak Tigernapping
– ikke bare respektive nasjonale
kriminelle.
Det øker risikoen for at noe slikt
kan skje i Norge snart.
Kilde: NSR
8 SIKKERHET nr. 4 • 2011 www.nsr-org.no

Sikkerhetskonferansen 2011
«Andre virksomheter
som ikke tradisjonelt
sitter på kontanter,
men på attraktive og
lettomsettlige varer eller
bedriftshemmeligheter
er nå også blitt et
attraktivt mål for tigerkidnapping.»
i Europa utgjør dette daglig en alvorlig
trussel mot næringslivet.
Internasjonalt er det banksektoren
som har vært det primære målet
for tiger-kidnapping, årsaken til dette
er at det er disse som normalt har
sittet på de største kontantbeholdningene.
Ikke skap «myke mål»
Ketil Larsen Sækingstad
Trendanalyser viser at det også er
andre næringer som sitter på større
kontantbeholdninger og dermed blir
mer attraktive mål, så også Loomis
Norge AS. Andre virksomheter som
ikke tradisjonelt sitter på kontanter,
men på attraktive og lettomsettlige
varer eller bedriftshemmeligheter er
nå også blitt et attraktivt mål. En
annen utsatt målgruppe er de som
utfører og har tilganger til elektroniske
transaksjoner.
For næringslivet blir hovedoppgaven
å forebygge og organisere sin
virksomhet på en slik måte at man
ikke selv «skaper myke og attraktive
mål». Hvis ikke kan virksomheten
fort ende opp med å ha egne ansatte
som blir sittende igjen som et «unødvendig»
offer, bare fordi de gjorde
jobben sin.
Velkommen til høsten og
Sikkerhetskonferansen!
Av: Erland Løkken, direktør i NSR
22. juli setter muligheten til å
gå på jobb i et nytt og takknemlig
perspektiv – og bør styrke
motivasjonen til å forebygge kriminalitet
i alt sitt vesen. 22. julikommisjonens
arbeid vil bli viktig
for samfunnets fremtidige forsvar
mot og reaksjon på slike hendelser,
men allerede nå kan hver og en
av oss gjøre vår egen evaluering.
Årvåkenhet, bevissthet knyttet
til hvem som er på jobb og ikke,
plan for hvordan man skal reagere
når en ulykke eller kriminell
hendelser inntreffer, er blant de
faktorene som enhver virksomhet
bør vurdere i etterkant. Husk også
at det som ikke har skjedd ennå,
men som kan skje vil skje en gang.
Muligens skal ikke alle være forberedt
på å møte noe tilsvarende
22. juli. En slik forberedelse kan
fort medføre et samfunn med mye
frykt og varsomhet, men vi må la
tankene streife innom slike scenarioer
også.
Etablering i utlandet
På sikkerhetskonferansen søker vi
å være i forkant. Fremleggelsen av
KRISINO 2011 vil fortelle om det
som har skjedd, men resultatene
kan også ekstrapoleres i forutsigbar
fremtid. Mange av foredragene
vil dreie seg om erfaringer som
er gjort, og slik kan de uerfarne
komme i forkant av fremtidens
hendelser.
Vi har også laget «Veileder for
vurdering av sikkerhetsrisiko ved
etablering i utlandet». Den er utarbeidet
av et av våre utvalg basert
på erfaringer fra norsk næringsliv
i utlandet. Kultur og kriminalitet,
og ikke minst forholdet til andres
verdier og gjenstander, kan volde
utfordringer. Likeså krav om eller
behov for væpnede vakter.
Daglig kriminalitet
Etter ferien strømmer det på med
henvendelser om useriøse nettkataloger
og fakturabedragerier. Vi
kan også lese om personer som har
forsøkt å få godkjent vitnemål fra
falske studiesteder. Næringslivet
står daglig overfor mye kriminalitet,
og det å beskytte seg på et
område gir ingen sikkerhet på et
annet. Vi må være bevisste trusselen
på alle områder, hele tiden.
Jeg håper alle finner nytte i årets
sikkerhetskonferanse og det arbeidet
Næringslivets Sikkerhetsråd
gjør. Vi ønsker å være fremtidsskuende
i alle retninger.
www.nsr-org.no
SIKKERHET nr. 4 • 2011 9

Sikkerhetskonferansen 2011
Konsumentprodukter
i bedriften
Vi går mot en fremtid hvor skillet mellom forbrukerteknologi og bedriftsteknologi viskes ut.
Av: Ole Tom Seierstad,
Chief Security Advisor i Microsoft Norge AS
For å få utført et stykke arbeid har
man typisk samlet mennesker på en
arbeidsplass i en spesifikk periode
for å få utført en oppgave. Historisk
har dette vært det eneste valget for
bedrifter og arbeidstakere.
Utvikling det siste tiåret har endret
mye av dette. Behovet for å være
fysisk tilstede i en gitt arbeidstid
for å utføre jobben har ved hjelp av
teknologi blitt mye mindre for mange
arbeidsgrupper. Teknologien har
også skapt helt andre måter å jobbe
og kommunisere på.
Jobb og privat
Sentralt i disse endringene har vært
utbredelsen av internett og bredbånd
samt utviklingen av mindre,
kraftigere og mer brukervennlig datautstyr.
De senere årene også nettbrett
og smarttelefoner fått en stor
utbredelse i bedriftsmarkedet. Dette
samme med nettskybaserte løsninger
har gjort deling og samarbeid mer
tilgjengelig. Flere av disse tjenestene
er i utgangspunktet laget for et
«Teknologien har skapt
helt andre måter å
jobbe og kommunisere på,
uavhengig av geografi og
tidssoner.»
Ole Tom Seierstad
Ole Tom Seierstad
har jobbet i Microsoft siden 1990 og har
hatt flere ulike roller. De siste årene har
han fokusert på sikkerhet og problemstillinger
rundt dette. Dette arbeidet
inkluderer de fleste Microsoft-produkter
og også kontakt mot de ulike segmentene
som bruker Microsoft programvare.
forbrukermarked, men har blitt tatt i
utstrakt bruk av bedrifter.
Som brukere har vi omfavnet
mange av disse tjenestene og produktene
i privat sammenheng: deling
av dokumenter med venner,
delte arbeidsflater for idrettslaget
og telefoni via Skype til kjente over
hele verden. Vi har blitt vant til at
informasjonen er tilgjengelig til enhver
tid på den enheten vi foretrekker
å bruke.
Det forventes at den samme tilgangen
på informasjon og verktøy
skal være tilgjengelig også i en
arbeidssituasjon.
Nødvendig sikkerhetsnivå
Vi går mot en fremtid hvor skillet
mellom forbrukerteknologi og bedriftsteknologi
viskes ut. Dette setter
nye krav til IT-avdelingen som skal
håndtere bedriftens infrastruktur,
«Vi har blitt vant til
at informasjonen er
tilgjengelig til enhver
tid på den enheten vi
foretrekker å bruke.»
Ole Tom Seierstad
beskytte informasjon og holde et
sikkerhetsnivå som er nødvendig for
at bedriften skal kunne levere de varer
eller tjenester de lever av.
Mange av de samme utfordringene
gjelder også ansattes bruk av sosiale
nettsteder (i og utenfor arbeidstid).
Kan disse tjenestene brukes som
en kanal til å nå kunder og partnere,
eller er det en risiko for informasjonslekkasje?
Utfordringer
For å få en smidig og fleksibel bruk
av IT-systemer er følgende nødvendige
tiltak:
• Risiko- og sårbarhetsanalyse.
Bedriften må gjennomføre en ana-
10 SIKKERHET nr. 4 • 2011 www.nsr-org.no

Sikkerhetskonferansen 2011
Ullen trussel
lyse for å finne ut hva som skal være
tilgjengelig for brukere og på hvilken
type enhet
• Identitets- og tilgangskontroll.
Regler for hvem i en organisasjon
som skal ha tilgang til ulik type informasjon
er helt nødvendig å ha på
plass.
• Tjenestens sikkerhetsnivå.
Som en del av risiko og sårbarhetsanalysen
bør det også vurderes hvilket
sikkerhetsnivå de ulike sosiale
nettverkene har, og utarbeide rutiner
for hva som skal deles eller lagres på
disse tjenestene.
• Klientens sikkerhetsnivå.
Når bedriften skal håndtere flere
ulike enheter bør det være et krav
at disse har en viss grad av beskyttelse
mot ondsinnet programvare og
gjerne også kryptering, selv om det
er private enheter som benyttes.
• Beskyttelse av informasjon.
Det kan være ulike nivå på tilgangskontroll
og ulik grad av kryptering
– både ved lokal lagring og for dokumenter
som skal sendes i for eksempel
e-post.
Regler som de ansatte forstår og respekterer
og med IT-støttesystemer
som sørger for at regelbrudd ikke
forekommer, vil også en aktiv bruk
av sosiale nettsteder kunne bli en
ressurs for bedriften for å nå ut til
sine kunder.
Ved å ta en gjennomgang av systemene
og sørge for at informasjonen
i bedriften er beskyttet og klassifisert
vil en kunne utnytte disse
trendene med mer fornøyde brukere
og ikke minst en mye mer fleksibel
arbeidssituasjon.
Av: Bjørn Frang, daglig leder i
Global Advice Network Norway
Misligheter og korrupsjon er begreper
som delvis overlapper hverandre,
men er ikke synonyme. Misligheter
er ofte benyttet som generell beskrivelse,
og korrupsjon kan være
noe av hensikten. Korrupsjon er en
bestikkelse for å oppnå fordeler for
seg selv, firmaet eller organisasjonen
man arbeider i.
Strengere regler
Tidligere fikk man fradrag på skatten
hvis man hadde begått bestikkelser
i utlandet i forbindelse med
firmaets oppgaver. Nå er dette svært
straffbart og vil være en stor belastning
på firmaets omdømme.
Etter innføring av de nye reglene
har vi sett at enkelte firmaer opprettet
egne pengehåndteringssentraler i
skatteparadis. Hensikten med dette
var å gjøre overgangen fra bestikkelseskultur
til renvasking mykere
– det vil si man fortsatte med agentprovisjoner
fra skatteparadiset. I flere
tilfeller har det vist seg at de som
var satt til å bestyre disse midlene,
selv forsynte seg grovt.
Lederne har et ansvar
Det bør være en generell målsetning
i samfunnet å redusere tilfeller av
misligheter og korrupsjon, og samtidig
utvikle et trygt fellesskap.
«Bare ved å sette fokus på
temaet vil man redusere
det latente tapet.»
Bjørn Frang
Lederne i bedriftene tror at hvis
det hender noe kan de enten kjøpe
seg nødvendig ekspertise, eller melde
saken til myndighetene. Som leder
og styremedlem har man ansvar
for å fokusere, begrense og bearbeide
slike saker.
Hvis man lykkes i å implementere
temaet misligheter og korrupsjon
som en del av firmaets etikk og
Bjørn Frang
er daglig leder
i Global Advice
Network Norway
AS. Bjørn har i
over 16 år jobbet
i politiet, men
har vært i privat
sektor i mer enn
20 år. Han har
holdt et stort antall
kurs i svindelens og korrupsjonens
effekt for virksomhetsledere i Skandinavia.
personalmessig opplæring, vil mye
være oppnådd. Da vennes man til å
snakke om alminnelige menneskelige
svake tendenser som finnes overalt.
Tendensen kommer til uttrykk
hvis et individ tror det kan gjennomføre
en gjerning for å skaffe seg
eller andre en uberettiget vinning
risikofritt.
Åpenhet kan motivere
De fleste produksjonsbedrifter i et
moderne samfunn definerer omfanget
av misligheter, korrupsjon
og svinn til å ligge mellom 2 og 5
prosent av omsetningen. Det er flere
organisasjoner i verden som opererer
med denne størrelsesorden, og i de
tilfellene der jeg selv har vært med
å ta opp dette til vurdering kommer
man fram til de samme tallene.
Kunnskap og ansvar
Bare ved å sette fokus på temaet vil
man redusere det latente tapet. Hvis
man skal gjøre en bra jobb som leder
eller styremedlem, er det viktig å ha
kunnskap om at dette også er en del
av ansvaret.
Målrettede øvelser, work-shops og
annen jevnlig kommunikasjon om
temaene er en forutsetning for å lykkes
med anti misligheter- og korrupsjonsarbeidet.
Er omfanget ikke målt
vil det etter all sannsynlighet ikke
bli fokusert på. Er omfanget målt så
godt man kan, vil det også bli hyppigere
omtalt i flere sammenhenger,
og få en bedre preventiv effekt enn
det som er tilfellet i dag.
www.nsr-org.no
SIKKERHET nr. 4 • 2011 11

Sikkerhetskonferansen 2011
När staten är kriminell
Berlinmurens fall och det sovjetiska väldets sammanbrott markerade inledningen för en
ny fas i global organiserad brottslighet.
Av: Stefan Hedlund, professor ved Centre
for Russian and Eurasian Studies, Uppsala
University
Kanske minst uppmärksammat var
att «traditionell» organiserad brottslighet
plötsligt gavs möjligheter till
penningtvätt i en tidigare oanad
omfattning. Ett växande samarbete
mellan colombianska drogkarteller
och siciliansk maffia hade skapat så
stora behov av att tvätta svarta pengar
vita att traditionella kanaler inte
längre räckte till. Omvandlingen av
det gamla «östblocket» erbjöd här
helt nya möjligheter.
Omfattande program för privatisering
av statlig egendom kombinerades
med öppna gränser, fria
kapitalrörelser, och oreglerade finansmarknader.
Resultatet blev ett
verkligt Eldorado där rättsvårdande
myndigheter antingen stod handfallna
eller valde att göra gemensam sak
med brottslingarna.
Nya möjligheter
Samtidigt ledde Sovjetunionens
sammanbrott också till helt nya
möjligheter för medlemmar av det
som tidigare varit landets undre
värld. Ryska brottssyndikat etablerades
i främst USA, och det med sådan
framgång att den dåvarande chefen
för FBI vid mitten av 1990-talet
varnade för ett allvarligt hot mot
USA – en «clear and present danger».
Begreppet «rysk mafia» kom naturligt
nog att bli till ett favorittema för
underhållningsindustrin.
Den grova organiserade brottslighet
som här växte fram var dock på
intet vis etniskt knuten till just ryssar.
Snarare är det så, att mycket av
den mer våldsrelaterade beskydds-
Stefan Hedlund
er professor i øststatsforskning ved
Uppsala universitet. Han er også dosent
i nasjonaløkonomi, har fulgt utviklingen
i Russlands siden slutten av Leonid
Brezjnevs tid ved makten, og har vært
fremtrednende i media. Hans forskning
har under senere tid vært fokusert på
spørsmål rundt de russiske økonomiske
reformer og problemer vedrørende
«transformasjonen» till markedsøkonomi.
Hans vitenskaplige publikasjoner omfatter
mer enn 20 bøker, rindt 200 artikler
i tidskrifter av ulike slag, og drøyt 300
anmeldelser og debattartikler.
verksamheten har sina rötter i Kaukasus.
Givet Ryssland storlek, och de
omfattande kapitalflöden som genererats
av den ryska energiexporten,
är det dock naturligt att just den
ryska ekonomin har kommit att placeras
i fokus.
Marknedsekonomi
Den i särklass viktigaste konsekvensen
av det sovjetiska systemets
sönderfall var att den «marknadsekonomi»
som nu växte fram skulle
komma att utmärkas av en ohelig
allians mellan politiker, byråkrater
och brottslingar. Under de första
åren efter «systemskiftet» bar denna
utveckling tydliga drag av en dålig
gangsterfilm. Beskyddsverksamhet,
kontraktmord och eldstrider på öppen
gata var vanligt förekommande.
Snart nog kom dock utvecklingen att
länkas in i en mindre våldsam men
samtidigt också mera systemhotande
fas, vars mest utmärkande kännetecken
har varit att staten utgör en väsentlig
del av snarare än en motpart
till den organiserade brottsligheten.
Försöken att skapa en rättsligt
reglerad marknadsekonomi ställdes
mot ett tungt arv från det sovjetiska
systemet, där vardagen krävt
att man utvecklade färdigheter i att
kringgå regler, att fuska och betala
«Under de första åren
efter «systemskiftet»
bar denna utveckling
tydliga drag av en dålig
gangsterfilm.»
Stefan Hedlund
mutor, och att skapa nätverk av kontakter
som kunde erbjuda beskydd.
Ekonomiska aktörer upplevde en
obefintlig tilltro till att staten skulle
kunna vara till hjälp. Historiska
skillnader i rättslig och politisk tradition
har gjort det lättare för en del
av de f.d. öststaterna att skaka av
sig detta arv. I det ryska fallet har
försöken att hävda äganderätt och
kontrakt givit tydliga prov på hur
svårt det kan vara att bryta invanda
historiska mönster.
12 SIKKERHET nr. 4 • 2011 www.nsr-org.no

Sikkerhetskonferansen 2011
Rekrutteringssikkerhet
i Statoil
I rekruttering er vårt fremste mål alltid å ansette rett person i rett
stilling. Dette krever svar på to enkle spørsmål.
Stora risker
Att bedriva affärsverksamhet i denna
miljö skulle för många utländska
företag komma att bli till en stor
utmaning. Samtidigt som potentiella
vinster har varit betydande, har
även riskerna varit stora. För många
mindre företag har det rört sig om
krav på betalning för beskydd, och
om ständigt trassel i relation till
myndigheter som krävt mutor. Betydligt
viktigare är dock att även
internationella storföretag, alltifrån
oljejättar som BP och Shell till svenska
IKEA och norska Telenor har fått
uppleva hur det ryska rättsväsendet
fungerar, och att inte ens kontakter
på allra högsta nivå kan ge någon
form av garanti eller säkerhet.
«Rättsnihilism»
Problemets kärna ligger i vad Rysslands
president Dmitrii Medvedev
brukar kalla för «rättsnihilism», att
tjänstemän inte upplever någon
skyldighet att följa lagen. Konsekvensen
har blivit vad som ibland
kallas en «kultur av ostraffbarhet»,
nämligen att avtal kan brytas och
att brott kan begås utan att det leder
till rättsliga konsekvenser.
Det finns ett gammalt ryskt talesätt
som säger att «fisken ruttnar
från huvudet nedåt». Om det är så,
att roten till det onda ligger i att staten
varken har ambition eller kanske
ens förmåga att hävda rätten, då
är det bäddat för precis den typ av
skandaler som har kommit att utmärka
ekonomisk rapportering från
Ryssland.
Av: Tone Rognstad, Statoil
Rekruttering i Statoil er både grundig
og tidkrevende, og slik skal det
også være. Gjennom rekrutteringen
garanterer vi for en relasjon mellom
Statoil og den ansatte som i mange
tilfeller vil strekke seg over flere tiår.
Da er det viktig å ikke komme skjevt
ut.
Vi vet at det kan ta inntil et år før
selv en kompetent nyansatt leverer
for fullt i sin nye stilling. Hvis arbeidsgiveren
først etter ansettelsen
avdekker at den nyansatte ikke har
den forventede kompetansen, har
bedriften tapt mange penger. I tillegg
kommer risikoen for sikkerheten
og miljøet hvis vi ansetter noen
som ikke har den kompetansen stillingen
krever. Da blir det viktig at vi
som rekrutterere gjør en skikkelig
jobb. Ett av de to viktige spørsmålene
vi må finne svar på, er: Har kandidaten
den kompetansen han sier at
han har?
Tillitsforhold
Det kan kanskje være fristende å
gjøre karakteren C til en A i håp om
å klatre litt høyere i søknadsbunken.
Men et arbeidsforhold er først og
fremst et tillitsforhold mellom arbeidstakeren
og arbeidsgiveren. Da
er det avgjørende at vi ikke ansetter
bedragere. For la oss være ærlige:
Det er bedrag vi snakker om. I den
ene enden av skalaen finner vi et
pyntet eksamensresultat, men i den
andre enden har kandidaten kjøpt
hele vitnemålet fra et fiktivt universitet
på nettet. Den negative risikoen
for bedriften øker selvsagt med omfanget
av bedraget.
www.nsr-org.no
Tone Rognstad
er Vice president i Corporate human
resources i Statoil med ansvar for rekruttering
og profilering.
Hun har tidligere jobbet i GE money
med ansvar for blant annet Quality,
Operations, Risk sigma og Marketing.
Hun er utdannet ved BI, Bank og finans.
Like alvorlig som spørsmålet om
hva kandidaten kan, er spørsmålet
om identitet: Er kandidaten den han
sier han er? Vi skal ikke være paranoide,
men vi må heller ikke være
naive. Vi trenger å vite med størst
mulig sikkerhet at vi ikke ansetter
personer som oppgir falsk identitet.
Grundige rutiner
Løsningen på begge disse utfordringene
er meget grundige rutiner for å
kontrollere identiteten og kompetansen
til dem vi ansetter.
Statoil er en bedrift i endring. Etter
hvert som en større del av veksten
kommer fra operasjoner utenfor
Norges grenser, vil en økende andel
av rekrutteringen finne sted langt
«hjemmefra». Da blir det viktig at vi
har en felles forståelse av hva som er
☞
SIKKERHET nr. 4 • 2011 13

Sikkerhetskonferansen 2011
Dyr spionasje
Sikkerhet koster penger, men spørsmålet er om vi har råd til å ikke
beskytte oss.
Av: Ronald Barø, Politiets sikkerhetstjeneste
Det kan være fristende å gjøre karakteren C til
en A i håp om å klarte litt høyere i søknadsbunken.
Foto: Karoline K. Åbyholm/NSO
«Vi vil aldri kunne
avdekke alle mulige
forsøk på juks.»
Tone Rognstad
viktig i rekrutteringsprosessen, enten
vi sitter i Harstad eller i Houston.
Våre globale retningslinjer inneholder
både anbefalinger og ufravikelige
krav, det som på engelsk kalles
non-negotiables. Ufravikelig er for
eksempel kravet om at vi skal forsikre
oss om identiteten og den faglige
kompetansen til hver enkelt person
som ansettes i selskapet.
Vi vil aldri kunne avdekke alle
mulige forsøk på juks. Men vi må i
alle fall gjøre det vi kan for å oppdage
uregelmessigheter. Og vi må
være enige om hva som er de viktige
spørsmålene.
Ulovlig etterretningsvirksomhet er
enhver aktivitet med sikte på å skaffe
informasjon om politiske, militære,
teknologiske eller andre viktige
samfunnsmessige forhold og som
kan være til skade for landets sikkerhet,
interesser og selvstendighet.
Som ulovlig etterretningsvirksomhet
regnes også industrispionasje utført
av en annen stat ved hjelp av denne
statens etterretningstjenester.
Industrispionasje som foregår
mellom konkurrerende firmaer og
bedrifter med kommersielle målsettinger,
er en oppgave for det ordinære
politi. Grensegangen her kan
imidlertid være uklar. Ofte vil ikke
aktørens tilhørighet være kjent, og
om den ulovlige etterretningen da
er et ansvar for Politiets sikkerhetstjeneste
(PST) eller politiet vil være
vanskelig å fastslå.
Høy aktivitet
Etterretningsaktiviteten mot norske
interesser er høy. Veldig mange norske
virksomheter utsettes for ulovlig
etterretning daglig, og de potensielle
tapene kan være store. Denne
type kriminalitet anmeldes sjeldent.
Ettersom ulovlig etterretning foregår
fordekt, er mange virksomheter
sannsynligvis utsatt for denne type
kriminalitet uten å vite om det.
De fleste stater har en etterretningstjeneste.
I mange land er næringslivsspionasje
et statlig anliggende,
og nasjonalstaten bruker sine
ressurser på å skaffe seg informasjon
som er formålstjenelig for eget lands
næringsliv. Flere staters etterretningstjenester
er aktive i Norge, og
disse etterretningstjenestene rår over
store ressurser og et bredt spekter av
metoder.
Ronald Barø
jobber til daglig i Politiets sikkerhetstjeneste
som sikkerhetsrådgiver. I tillegg
til jobben som sikkerhetsrådgiver er han
i ferd med å fullføre en mastergrad i
Security and Risk Management ved University
of Leicester i England.
Fra tidligere har han har lang og variert
operativ bakgrunn fra forsvaret, både
nasjonalt og internasjonalt.
Ronald har også jobbet i Det Norske Veritas,
både som organisasjonsutvikler og
som forsker innenfor fagfeltet security.
Varierende metoder
Etterretningsmetodene som blir
brukt varierer, og noen er svært avanserte.
Flere staters etterretningstjenester
har avlyttingskapasitet i
Norge. Datanettverksoperasjoner
har blitt brukt i forsøk på å skaffe
skjermingsverdig informasjon fra
norske offentlige og private aktører.
Den ulovlige etterretningsvirksomheten
er særlig rettet mot norsk forsvars-
og sikkerhetspolitikk, olje- og
gassektoren, forskningsinstitusjoner
samt høyteknologivirksomheter.
14 SIKKERHET nr. 4 • 2011 www.nsr-org.no

Sikkerhetskonferansen 2011
Mye av informasjonsinnsamlingen
foregår ved hjelp av IKT, men også
metoder som sosial manipulering,
bruk av åpne kilder, avlytting, rekruttering
av ansatte, eller bevisst
plassering av medarbeidere i virksomheter
er aktuelle metoder.
Viktig å være proaktive
«Mange virksomheter
sannsynligvis utsatt for
denne type kriminalitet
uten å vite om det.»
Ronald Barø
Det er viktig at norske virksomheter
er proaktive i møte med utfordringer
som følger med ny teknologi. Mange
virksomheter utstyrer de ansatte
med ulike kommunikasjonsplattformer
som smartphones og nettbrett,
og skillet mellom teknologi for jobbog
privat bruk viskes ut. Dette stiller
større krav til både arbeidsgivere og
arbeidstakere med tanke på sikkerhet.
En virksomhets behov for informasjonssikring
kan lett komme i
konflikt med fritidsbruk av utlevert
IKT-utstyr. For aktører som bedriver
ulovlig etterretning er dette en gunstig
situasjon. Kartlegging av ansattes
privatliv og virksomhetens informasjonssystemer
gir en aktør med
ondsinnede hensikter mange muligheter,
og øker virksomheters sårbarheter.
Det er viktig at virksomheter
har et bevisst forhold til denne problemstillingen.
Informasjon har blitt
mye lettere tilgjengelig og flyttbart
i store mengder enn for bare få år
siden. Få arbeidsgivere reagerer på
at ansatte tar med seg et elektronisk
lagringsmedium inn og ut av arbeidsplassen,
men alle arbeidsgivere
vil reagere dersom en ansatt tar med
seg en pall med dokumenter ut fra
virksomheten.
Sikringstiltak
Innenfor «security» er trenden å
legge stor vekt på teknologiske sikringstiltak.
De fleste sikkerhetssystemer
er utviklet for å hindre at ikkeautoriserte
personer får tilgang til
våre verdier, men svært ofte er disse
systemene konstruert for å hindre
ekstern tilgang på våre systemer.
Som i «safety», krever alle systemer
at menneskene som er satt til å forvalte
dem faktisk følger gjeldende
prosedyrer. For å motivere ansatte til
å følge disse reglene er det viktig at
de ansatte forstår hvorfor disse retningslinjene
og prosedyrene er viktige,
og de potensielle konsekvensene
sikkerhetsbrudd kan ha.
Sosial manipulering
I etterretningsverdenen brukes sosial
manipulering for å innhente
informasjon under en tilsynelatende
normal og uskyldig samtale. De som
er satt til å innhente informasjon,
er godt trent til å dra nytte av faglige
eller sosiale sammenhenger for å
komme i kontakt med personer som
har tilgang til gradert eller annen
skjermingsverdig informasjon.
Slike møter vil oppleves som en
normal sosial eller faglig samtale og
kan ta plass hvor som helst. Men det
er en samtale med en intensjon om å
samle informasjon om arbeidet ditt,
eller for å samle informasjon om deg
eller dine kolleger. For utenlandske
etterretningsorganisasjoner, er bruk
av sosial manipulering en teknikk
som medfører lav risiko for innhenteren.
Etterretningsvirksomhet
Etterretningsvirksomhet er målrettet
og styrt innsamling og
analyse av informasjon som innsamleren
anser som relevante for å
dekke sitt informasjonsbehov.
Etterretningsvirksomhet er i utgangspunktet
lovlig så lenge den
består i å hente informasjon fra
åpent tilgjengelige kilder; internett,
media, offentlig tilgjengelige
dokumenter, arkiver og lignende.
Denne teknikken fungerer godt,
og gjennom slik innsamling av
informasjon kan gjerningsmannen
samle, bekrefte eller utvide sin
kunnskap om et sensitivt prosjekt eller
annen beskyttelsesverdig aktivitet.
Videre kan gjerningsmannen få
bedre innsikt i en persons potensial
eller mottakelighet for rekruttering
eller søke å påvirke beslutningsprosesser
i en virksomhet.
Sikkerhetstrategi
For å beskytte seg mot ulovlig etterretning
er det viktig at virksomheter
etablerer en helhetlig sikkerhetsstrategi
som adresserer både teknologisk,
organisatorisk og menneskelige sikkerhetstiltak,
og ikke minst hvordan
disse tre dimensjonene underbygger
hverandre. Sikkerhet koster penger,
men spørsmålet er om vi har råd til
å ikke beskytte oss. Det er det bare
den enkelte virksomhet som kan
svare på, og da etter en god verdibasert
risikoanalyse.
www.nsr-org.no
SIKKERHET nr. 4 • 2011 15

Sikkerhetskonferansen 2011
«Sociale» utfordringer
Hvordan kan en angriper spasere rett inn på serverrommet uten å bli lagt merke til?
Av: Christian Jacobsen,
konsulent Secode Norge AS
Social engineering er en hel verktøykasse
av metoder for å få tilgang
til informasjon eller områder, hvor
det menneskelige aspektet av sikkerheten
ligger i fokus. Gjennom flere
års arbeid med social engineering,
har Secode bygget seg opp en unik
kompetanse og erfaring på hvordan
angripere tenker, hvordan brukere
lar seg lure og hvordan bedrifter
best kan beskytte seg.
Social engineering utfordrer flere
sider av vår vanlige måte å ta avgjørelser
på, hvor angriperens hovedfokus
er å skape tillit og trygghet, for
deretter å utnytte situasjonen for å
få tilgang til data eller lokasjoner.
Phishing, og spear phishing i særdeleshet,
er eksempler på hvordan social
engineering benyttes i målrettede
angrep.
Terrorbilder på Facebook
Rundt 90 prosent av alle falske antivirusangrep
involverer metoder
fra social engineering. Også i Norge
dukker det opp angrep som benyttes
seg av social engineering, nå sist i
form av et omfattende «likejacking»-
angrep i kjølvannet av terrorhandlingene
i Oslo og på Utøya. Facebook-brukere
ble lurt til å klikke på
linker, som få timer etter arrestasjonen
av gjerningsmannen, kunne love
videoer fra åstedene. Det sier seg
selv at folks nysgjerrighet og behov
for informasjon vinner over kritisk
sans, og linkene ble spredd som ild i
tørt gress.
Christian Jacobsen
arbeider som konsulent og sikkerhetstester
i Secode, og har siden 2009 vært
fagansvarlig for Secodes satsning på
social engineering. Han leder årlig flere
store social engineering-tester for kunder
både i Norge og utlandet, og har
vært pådriver for å skape en av de mest
komplette og relevante metodelistene for
social engineering.
Christian startet i Secode i 2008, og har
bakgrunn innen sosiologi og informatikk,
samt mer enn ti års erfaring fra
Telenor. Foruten social engineering arbeider
Christian hovedsakelig med risiko-
og sårbarhetsanalyser.
Avanserte angrep
Effekten av social engineering blir
tydeligere om man begynner å se
på resultatene av målrettet phishing,
som gjerne kalles spear phishing.
Ved å kombinere grundig teknisk
innsikt og metoder fra social engineering,
kan man skape avanserte
angrep som er svært vanskelig å beskytte
seg mot. Et unntak fra dette
Social engineering
Sosial manipulering (social engineering)
går ut på å skaffe seg tilgang
ved å lure noen.
Sosial manipulering er en helt annerledes
måte å angripe datasystemene
på, og sjarm er kanskje den
viktigste egenskapen for en hacker.
var i august i fjor, da en finansmann
fra Stavanger i siste liten klarte å
avsløre et omfattende angrep mot
seg selv.
– Denne svindelen er det motsatte
av primitive Nigeria-brev. Her har
godt skolerte folk med god innsikt i
teknologi lagt ned masse ressurser
på å lage den perfekte svindel, sa finansmannen
til Dagens Næringsliv i
etterkant.
«Tailgating»
Da Secode gjennomførte en test for
et større norsk konsern nylig, valgte
vi å gjenskape et kjent phishingscenario,
hvor vi sender en e-post
til tilfeldig valgte brukere. E-posten
inneholdt en enkel usammenhengende,
dårlig forfattet setning og en
lenke til en ukjent og eksekverbar
fil, på en ukjent webserver. E-posten
inneholdt ingenting som skulle gi de
ansatte tillit til avsender eller innhold.
I løpet av få timer hadde 26
prosent av de ansatte lastet ned og
eksekvert filen, 50 prosent av de ansatte
hadde klikket på lenken. Når vi
i andre tester gjør en større jobb med
å skape troverdighet og tillit, økes
16 SIKKERHET nr. 4 • 2011 www.nsr-org.no

Sikkerhetskonferansen 2011
«Rundt 90 prosent av alle falske
antivirusangrep involverer metoder fra
social engineering.»
Christian Jacobsen
Sosial manipulering er sannsynligvis den mest brukte metoden for hacking. Foto: Flickr.com
også resultatene til at vi oppnår 100
prosent treff på for eksempel høsting
av passord via telefon.
Ved å benytte tailgating (følge etter
personer med gyldig adgang) kan
man forholdsvis enkelt få tilgang til
kontornett, hvor en keylogger kan
installeres. Eller man kan ringe support
og be dem om å videresende
ledergruppens e-post til en tilstrekkelig
troverdig adresse.
Tilpassede angrep
Social engineering som angrepsvektor
er fleksibelt og kan tilpasses
situasjonene fortløpende, svært ofte
krever et vellykket angrep veldig lite
forkunnskap om offeret, og ettersom
angrepene går mot de ansatte selv,
er deteksjonsraten svært liten. Konsekvensene
for de som blir angrepet
kan være betydelige og langvarige.
Hvor mye tillit skal og bør en sikkerhetsansvarlig
da legge i tekniske
sikkerhetsmekanismer som brannmurer
og skallsikring av lokasjoner
alene, om ansatte slipper angripere
rett inn i sikker sone eller gir fra seg
passord på telefonen? Gjennom flere
tester som vi selv har gjennomført,
og etterforskning i kjølvannet av
ekte angrep, viser det seg at troverdige
scenarioer kan få svært mange
ansatte, uansett sted i organisasjonshierarkiet,
til å bryte egen sikkerhetspolicy.
Mens tradisjonelle sikkerhetsmekanismer
gjør en utmerket
jobb med å avdekke tekniske angrep,
er det opplæring, testing og holdningsskapende
arbeid som må legges
til grunn for å sikre seg mot social
engineering – kombinert selvfølgelig
med ordinære sikkerhetsmekanismer
som IDS og patch management.
www.nsr-org.no
SIKKERHET nr. 4 • 2011 17

Beredskapsforskriften
Beredskapsforskriften på høring:
Fra detaljkrav til funksjonskrav
– hva mener du?
Nå kan du si hva du mener!
Avdelingsdirektør Torill
Tandberg og sjefingeniør
Gunnar Wold, DSB, håper
høringen vil gi gode innspill
til ny forskrift om egenberedskap
i virksomheter.
Foto: H. Bergmann
Av: Karoline Kathrine Åbyholm, NSO
Torill Tandberg er avdelingsdirektør
for Næringsliv, produkter og farlige
stoffer i DSB. Sammen med Gunnar
Wold og Kåre Løvdahl har hun samarbeidet
tett med NSO i utviklingen
av forslag til ny forskrift om egenberedskap
i virksomheter.
– Arbeidet har jo tatt litt tid, men det
viktig å ha god kondisjon og utholdenhet
i denne typen arbeid! Jeg vil
fremheve det gode samarbeidet DSB
og NSO har hatt i denne prosessen.
Her har de to etatene utfylt hverandre
på en særdeles god måte, sier
hun.
Viktig med tilbakemeldinger
Forskriften ligger nå ute på DSB sine
nettsider, og Tandberg forteller at
hun er svært spent på hvilke tilbakemeldinger
som kommer.
– Jeg tror vi landet veldig greit
når det gjelder forskriftens virkeområde,
men det er viktig at de som har
gode innspill til dette gir oss tilbakemeldinger.
Det er også viktig å få
tilbakemeldinger på om de kravene
som stilles i forskriften er forståelige.
– Hvordan vil arbeidet med forskriften
bli fremover?
– Nå er forskriften sendt på offentlig
høring med høringsfrist 17. oktober,
og den er sendt direkte til flere høringsinstanser.
I god tid før hørings-
fristen går ut vil det bli invitert til
et åpent møte i Oslo der NSO og DSB
vil redegjøre for forskriftsforslaget
til de som måtte ønske det.
Trer i kraft i 2012
Etter 17. oktober vil arbeidsgruppen
bestående av NSO og DSB vurdere de
innkomne høringskommentarene. Da
må de vurdere noen av forskriftsbestemmelsene
må endres, tydeliggjøres
eller strykes.
– Når denne jobben er gjort vil vi
oversende den endelige forskriften
til Justis- og politidepartementet og
anmode dem om at DSB kan fastsette
den nye forskriften. Det er lagt
opp til at den nye forskriften skal tre
i kraft 1. januar 2012, sier Tandberg.
18 SIKKERHET nr. 4 • 2011 www.nso.no

Beredskapsforskriften
Risikovurdering
er nøkkelen
I Sikkerhet nr. 2/2011
omtalte vi arbeidet med
nye forskriften.
ikke endret, men framstilt på en annen
måte enn i gjeldende forskrift.
Ved bruk av den næringskoden som
virksomhetene er registrert med i
Brønnøysundregistrene, vil man lett
kunne sjekke om man er omfattet.
– Kan dere peke på noe som er nytt?
– Ny forskrift inneholder så godt som
ingen detaljkrav. Den regulerer hva
man ønsker å oppnå, men sier ikke
hvordan. Når det gjelder øvelser kan
det være greit å merke seg at det er
krav om regelmessighet.
Av: Karoline Kathrine Åbyholm, NSO
– Hva er det som er nytt i den nye
forskriften?
– I den nye forskriften er det lagt
større vekt på resultatet av risikovurderingene.
Gjennom risikovurderingen
skal virksomhetene komme
fram til et sett av uønskede hendelser
som skal være grunnlaget for organiseringen,
dimensjoneringen og
vedlikeholdet av egenberedskapen.
Videre er begrepet «industrivern» erstattet
med «egenberedskap», og det
som heter industrivernleder i dag,
kalles beredskapsleder i ny forskrift.
Sikkerhet har spurt spesialrådgiver
Bjørn Egil Jacobsen og juridisk rådgiver
Inger Hanne Bye litt om hva
den nye forskriften vil innebære.
Det er de to som har jobbet med forslaget
til ny beredskapsforskrift for
industrien fra NSOs administrasjon.
– Vil de samme beredskapsklassene
eksistere?
– Nei, dagens fire beredskapsklasser
blir erstattet med to beredskapsnivåer.
Ut fra bedriftenes risikovurdering
skal de selv komme fram til hvilket
nivå de tilhører. NSO vil selvsagt
hjelpe de bedriftene som er usikre på
dette.
Må øve regelmessig
– Hva er videreført fra det gamle regelverket?
– Virkeområdet for forskriften er
– Hva skal bedriftene selv gjøre?
– Virksomhetene må selv melde fra
til NSO om at de kommer inn under
forskriften, de må registrere seg.
Denne meldeplikten får ingen konsekvenser
for de som er industrivernpliktige
i dag. For disse virksomhetene
vil nødvendig informasjon bli
innhentet med industrivernrapporten.
Mer på nettet
– Kan bedriftene selv være med på å
påvirke og si sin mening om forskriften?
– Ja. På www.nso.no ligger det lenke
til alle høringsdokumentene, også
oversikten over hvem som har fått
forskriften på høring. Innspill kan
bedriftene gi via en av dem som har
fått forskriften på høring.
– Hvorfor kommer det egentlig en ny
forskrift, er den ikke bra den som er?
– Forskrift og retningslinjer for industrivern
oppleves som gammeldags,
og er ikke tilpasset moderne
krav til HMS-regelverk.
www.nso.no
SIKKERHET nr. 4 • 2011 19

Beredskapsforskriften
Savner balanse mellom
myndighetskrav og egenpålagte krav
Industrivernleder Jo Minken mener at
myndighetene må diskutere akseptkriterier
og minimumsstandarder med
bedriftene.
Foto: H. Bergmann
Jo Minken er industrivernleder ved
Dynea AS på Lillestrøm. Han har
mange års erfaring som leder for
selskapets beredskap, både operativt
og administrativt. Minken har både
positive tilbakemeldinger og kritiske
kommentarer til forslaget til ny forskrift
om egenberedskap.
- Slik jeg leser forskriften vil
beredskapskravene heretter i større
grad settes av bedriftens risikoanalyse,
for eksempel innenfor opplæring
og øvelser, der det tidligere var
konkrete krav og retningslinjer, sier
han.
- Beredskap skal være risikostyrt
etter min mening, men det bør alltid
være en balanse mellom forskriftskrav
og vurderte, egenpålagte krav.
Jeg syns dette er litt ute av balanse i
den nye forskriften. For mye er opp
til egen analyse.
Krevende analyser
- Hvorfor bør de konkrete kravene
være tydligere?
- Gode risiko- og beredskapsanalyser
er krevende. Jeg mener de lett kan
bli subjektive dersom det ikke er god
styring med arbeidet. Resultatene av
slike analyser kan være veldig kostnadsdrivende
for en bedrift, og det
kan i et kortsiktig perspektiv være
lønnsomhet å manipulere risikovurderingene
for å spare noe på beredskapssiden.
Dersom konkurranseutsatt
industri settes under kraftig
økonomisk press, vil det på et eller
annet tidspunkt være en avveining
om man skal ansette noen til å produsere
varer, eller å styrke beredskapen.
Når det ikke foreligger entydige
klare krav, vil dette være et stort
diskusjonstema i fremtiden.
- Hvordan kombinere entydige myndighetskrav
med lokal tilpasning?
- Det er i stor grad opp til bedriften
selv å sette akseptkriterier for risikoanalysen.
Bedrifter med forskjellige
akseptkriterier vil derfor være
uenige om hva som er en god beredskap.
Jeg tror den nye forskriften
vil kreve at NSO og DSB er med på
å diskutere akseptkriterier og minimumsstandarder
med bedriftene,
hevder Minken.
– Jeg er likevel glad for at det i
større grad enn før åpnes for vurderinger
via risiko- og beredskapsanalyser.
Det er forskjell på en bedrift
som ligger alene i et lite lokalsamfunn
og en bedrift som kan få full
assistanse med 8–10 utrykningskjøretøyer
i løpet av 3–5 minutter.
Utydelig innslagspunkt
- Er dette med nærhet til andre ressurser
omtalt i forskriften?
- Nei, ikke direkte, men dersom en
beredskapsanalyse viser at det er
fullt ut forsvarlig med en relativt lav
beredskap i virksomheten på grunn
av at det finnes godt opplærte beredskapsressurser
i nærområdet, vil dette
være godt nok, slik jeg tolker det.
- Andre ting du har merket deg?
- Jeg synes innslagspunktet for forskriften
er noe utydelig. For meg er
det en selvfølge at alle Seveso-bedriftene
skulle vært med. Jeg hadde
også ønsket at alle aktuelle tilsynsetater
stod bak en felles beredskapsforskrift,
for å gjøre hverdagen enklere
for oss i industrien.
- Du er jo beredskapsleder for flere
bedrifter på området deres. Hvordan
vil den ordningen kunne bli framover?
- Vårt industriområde består av solide
og seriøse selskaper. Jeg er ganske
trygg på at alle har et felles ønske
om en meget god beredskap, som
vi har i dag.
Harald J. Bergmann
20 SIKKERHET nr. 4 • 2011 www.nso.no

Beredskapsforskriften
Økt sikkerhet
med ny forskrift
Motiverende med
beredskap etter behov
Nina Gølin Hjelmen. Foto: H. Bergmann
Merete Been Wilhelmsen har tro på at bedriftene vil sikre medarbeidere, maskiner og bygninger på
en god måte. Foto: Partner Tech
- Vet Hitec at det kommer en ny forskrift
om beredskap?
Sikkerhet har spurt project manager
Nina Gølin Hjelmen, som er industrivernleder
i Hitec Products AS.
Stavangerbedriften har ca 70 ansatte
og er i beredskapsklasse III.
– HMS har en sterk rolle i vår organisasjon.
Hos oss er det hele tiden
fokus på sikkerhet og kvalitet, og vi
ønsker stadig å forbedre oss. Hitec
Products sitt arbeidsområde er kontrollsystem
til den internasjonale olje-
og gassindustrien. Vi er nødt til å
følge med når det kommer nye lover
og regler!
– Hva mener du om forslaget til
forskrift om beredskap i virksomheter?
- Det ser ut som det vil gi større fleksibilitet
for virksomhetene, og det vil
være mer dynamisk for hver enkelt
bedrift. Jeg er positiv til forslaget.
- Fleksibilitet, sier du. Betyr det
at de som ikke er interessert i beredskap
får anledning til å redusere innsatsen?
- Jeg tror heller at fokus på sikkerhet
og beredskap blir større generelt
i virksomhetene, noe som også vil
gjenspeile seg i rollen til industrivernlederen.
Det vil bli økt sikkerhet!
H.B.
– Vi er allerede sertifisert etter ISO
9001 og 14001 og er derfor godt
kjent med å definere prosedyrer og
forebyggende tiltak ut fra de risikoer
og erfaringer vi har. I den nye
forskriften om egenberedskap ser vi
klare paralleller til måten å tenke på:
Vurdering av situasjonen, og deretter
igangsette passende prosedyrer og
tiltak for å dekke standardens krav.
Det er industrivernleder Merete
Been Wilhelmsen i PartnerTech AS
som sier dette på spørsmål om sitt
syn på forslaget til ny forskrift. I
Norge har de sin base i Moss med
cirka 130 medarbeidere, og er spesialiserte
på produksjon og montering
av tynnplateprodukter. PartnerTech
er industrivernpliktige i beredskapsklasse
III. Totalt har Partner Tech
cirka 1.300 ansatte ved anlegg i
Norge, Sverige, Finland, Polen, Storbritannia,
USA og Kina.
Minimumsløsning
– Tror du noen vil bygge ned beredskapen
for å spare?
– Den nye forskriften gir helt klart
muligheter for å velge en minimumsløsning
som i noen tilfeller
kan bli uforsvarlig. Men jeg har tro
på at bedriftene i Norge ser på forskriften
som en mulighet til å sikre
både medarbeidere, maskiner og
bygninger på en god måte, som førstehjelp
i en eventuell nødssituasjon,
frem til profesjonell assistanse utenfra
kan ankomme.
Mer krevende
– Blir oppgavene som beredskapsleder
mer krevende?
– Den nye rollen kan bli mer krevende
da man hele tiden må vurdere
og revurdere risiko i forhold til endringer
som skjer i bedriften. Man
kan ikke lenger hvile seg på det faste
oppsettet i dagens retningslinjer, påpeker
Wilhelmsen:
– Jeg har likevel tro på at det totalt
sett vil være positivt, da vi selv
kan gjennomføre det som synes å
være nødvendig til enhver tid. Det
er mer motiverende å sette opp organisasjon,
utstyr og øvelser etter det
vi selv vurderer som nødvendig, enn
å måtte iverksette noe som er forhåndsbestemt
og som i noen tilfeller
virker overflødig og unødvendig.
Dette er spesielt viktig i en hverdag
med stor konkurranse og krav til
kostnadseffektivitet.
Harald Bergmann
www.nso.no
SIKKERHET nr. 4 • 2011 21

Beredskap
Imponerende industrivern
Industrivernleder Terje Guttormsen (midten), nestleder for industrivernet Nancy Stien Schreiner innsatsleder Per Christian Dahl er fornøyde med
industrivernet ved Rana Gruber i Mo i Rana.
På to år har Rana Gruber AS gått fra ikke noe industrivern til å ha over 25 prosent av de
ansatte engasjert i beredskapsarbeid!
Tekst og foto: Karoline K. Åbyholm, NSO
– Vi startet på null, forteller industrivernleder
Terje Guttormsen ved
Rana Gruber om industrivernet for
et par år siden.
Sammen med nestleder for industrivernet
Nancy Stien Schreiner jobbet
han tett for å få et godt industrivern
på beina.
– Eierne vi hadde tidligere prioriterte
ikke industrivern, men etter
hvert har vi sett behovet selv. Dette
er vår arbeidsplass, og hvis det skjer
noe får det store konsekvenser for
kollegaer og en selv. I verste fall kan
menneskeliv gå tapt. Det at vi har et
fungerende industrivern er kjempeviktig,
sier Nancy.
Større industrivernbudsjett
Sammen med Terje ble hun satt til å
lage en handlingsplan for hvordan
de kunne få et godt industrivern.
– Vi gikk nøye gjennom hva vi
hadde av ressurser, hva slags opplæring
folk hadde og hva kravene var.
Ikke minst hva vi måtte gjøre for å
dekke inn gapene. Da hadde vi heldigvis
en ledelse som mente det var
viktig at vi hadde et velfungerende
industrivern, sier Nancy, og legger
til at det ikke bare koster ressurser i
tid, men også i penger.
– Økonomien ved Rana Gruber
er mye bedre, og vi har nå råd til å
investere i industrivernet. Kursbudsjettet
tidligere var på 60.000-70.000
22 SIKKERHET nr. 4 • 2011 www.nso.no

Beredskap
«Økonomien ved Rana
Gruber er mye bedre, og vi
har nå råd til å investere
i industrivernet.»
i året. I fjor var det 600.000 i kursbudsjett,
og da kommer overtid og
øvelser i tillegg, sier Terje.
Mange i industrivernet
Terje Guttormsen
Til sammen er nærmere 60 personer
engasjert i industrivernet, noe som
tilsvarer en fjerdedel av alle ansatte
på bedriften.
– Da vi startet med handlingsplanen
var det fire-fem i bedriften som
hadde de kursene som trengtes. Nå
er vi rundt 60 personer. Og alle disse
skulle i løpet av kort tid vite hva et
industrivern var og få grundig opplæring
i blant annet forsterket førstehjelp.
Vi kurset alle i industrivernet
på tre-fire måneder, sier Nancy.
– Det må ha vært litt logistikk når
dere jobber så mange på skift!
– Det har vært mye planlegging for å
få dette til å gå opp. Men for oss var
det viktig å sende alle på nye kurs.
Hvis de har tatt kurs ved tidligere
arbeidsplasser vet vi ikke hva slags
opplæring de har, så vi sendte alle
på nytt så vi vet hva de lærer, forteller
Nancy og legger til at det er
viktig for dem å ha gode rutiner for
å følge opp og se hvem som trenger
opplæring.
Øvelse i høst
For tiden har Rana Gruber fem skift
med én innsatsleder på skift, men de
har ikke tenkt til å stoppe med det.
– Planen er å få vara for innsatslederne,
så det blir til sammen ti
stykker som skal ha kurs i innsatsledelse.
I tillegg har vi tenkt til å kjøre
en stor øvelse til høsten. Vi samarbeider
med MIP sikkerhetssenter for
å se hvilke scenarioer som kan ha
her på bedriften. Da er det viktig at
innsatslederne er med og ser på risikoanalysene
og farene som kan skje,
sier Nancy.
«For oss var det viktig
å sende alle på nye kurs.»
Nancy Stien Schreiner
Reddet egen
arbeidsplass
For et par år siden så fremtiden
til Rana Gruber mørk ut. Bedriften
var statseid fram til 1991 da
de ansatte overtok gruven. 64
prosent av de ansatte (140 personer)
gikk inn med et innskudd
på 10.000 kroner hver. Da bedriften
ble solgt og fikk nye eiere
i 2008, satt de ansatte igjen
med et rekordoverskudd.
– De ansatte som gikk inn
med minimumsinnskuddet på
10.000 kroner fikk igjen 1,8 millioner,
forteller Terje Guttormsen.
– I 1991 hadde ingen tro på
det, men de som gikk inn med
innskudd så på det som en sikring
av egen arbeidsplass.
– Hvordan ser fremtiden til Rana
Gruber ut nå?
– Den ser lys ut. Vi har malmressurser
i fjellet for mange titalls
år fremover, smiler Guttormsen.
www.nso.no
SIKKERHET nr. 4 • 2011 23

i NSO-fokus
NSO
mener
Bedriftene skal selv bestemme
Gjennom år har det vært krav om at
virksomhetens innsatsleder og industrivernleder
skal ha gjennomført
kurs i regi av Næringslivets sikkerhetsorganisasjon
(NSO). Dette har
vært kontrollert og fulgt opp av NSO
gjennom industrivernrapporten og
ved tilsyn. NSO har så langt bestemt
kursenes innhold i samsvar med regelverket.
I forslag til ny forskrift er dette
kravet foreslått fjernet. I den nye
forskriften stilles det krav til kvalifikasjoner
der virksomheten selv bestemmer
hvordan opplæringen skal
gjennomføres.
Kvalifikasjoner
I forskriften sies det nå følgende:
• Beredskapsleder skal ha kvalifikasjoner
for å kunne organisere,
dimensjonere og drifte egenberedskapen
i virksomheten.
• Innsatsleder skal ha god kunnskap
om beredskapsplanen og ha kvalifikasjoner
i å lede eget innsatspersonell
og kunne samarbeide med
nødetatene.
• Den enkeltes kvalifikasjoner skal
dokumenteres skriftlig.
Det er nå lagt opp til at den enkelte
virksomhet selv må, og uavhengig
av NSO, sørge for at beredskapsleder
(tidligere industrivernleder) har kvalifikasjoner
til å organisere, dimensjonere
og drifte egenberedskapen i
virksomheten.
Innsatsleder trenger ikke gå kurs
i regi av NSO, men må dokumentere
at han eller hun har god kunnskap
om virksomhetens beredskapsplan,
ha kvalifikasjoner for å lede eget
innsatspersonell samt kunne samarbeide
med nødetatene.
Vil tre i kraft ved nyttår
Forskriften vil sannsynligvis tre i
kraft 1. januar 2012. Har virksomheten
din behov for ny industrivernleder
eller innsatsleder, vil det fra nyåret
ikke være tilbud om opplæring
for disse fra NSO som tidligere.
For å motvirke et eventuelt vakuum
mht. opplæring av industrivern
- og innsatsleder har NSO allerede
startet et samarbeid med en rekke
opplærings - og øvingssentre for å
bidra til at et godt antall kursoperatører
fordelt over store deler av landet
kan gi tilpasset opplæring.
Regelverkskurs
Det er samtidig viktig å påpeke at
kommende leder ikke nødvendigvis
behøver kurs dersom de kan dokumentere
relevante kvalifikasjoner i
form av ledelseserfaring og kunnskap
om drift av en beredskapsorganisasjon/tilsvarende.
NSO vil fremover gi tilbud om
korte regelverkskurs hvor fortrinnsvis
beredskapsleder kan få innsikt
i hva som forventes i forhold til ny
forskrift.
Tidligere industrivernpliktige
virksomheter som i dag dekker kravene
til industrivern vil også dekke
de krav som stilles i ny forskrift.
Trygve Finsal
Direktør
Steinar Farstad ny NSO-medarbeider
Steinar Farstad (43) er ansatt som
rådgiver i NSO fra 15. august. Farstad
har tidligere jobbet innen kjemisk
prosessindustri, hvor han jobbet
17 år i treformidling og legemiddelproduksjon.
– Jeg har bachelorgrad fra Høgskolen
i Østfold hvor slutten av utdanningsløpet
var rettet mot risikostyring
og faget Enterprise Risk
Management (ERM). Arbeidet med
bacheloroppgaven ga meg og en
medstudent mulighet til å delta i en
risikonettverkgruppe som bidro til
mye erfaringsbasert kunnskap.
Farstad er fra og bor i Moss. Han
liker seg ute i naturen, og er gjerne
på turer – både til fots på hjul.
– Når jeg har «egotid», blir det
som regel en tur med motorsykkelen
eller en fottur i fjellet. Jeg har også
fått en gryende interesse for opera
etter noen fine opplevelser i Oscarsborgoperaen.
Han ser frem til å starte som ny
rådgiver i NSO.
– Jeg gleder
meg til å ta
fatt i alle de
spennende
arbeidsoppgavene
som
venter meg,
og ser frem til
et godt samarbeid
med kollegaer
og alle
de jeg vil møte i tjeneste for NSO.
24 SIKKERHET nr. 4 • 2011 www.nso.no

Spørrespalten
Om industrivern
Juridisk rådgiver Inger H. Bye (IHB) svarer på
spørsmål om egenbe skyttelse/industrivern.
Send dine spørsmål til inger.bye@nso.no
Spørsmål:
Hvilket språk skal beredskapsplaner og prosedyrer
være utarbeidet på?
Svar:
NSOs retningslinjer sier ikke noe om krav til språk.
Vi anser det som selvfølgelig at planene i alle fall
foreligger på norsk. Mange virksomheter må imidlertid
forholde seg til ansatte som ikke behersker
norsk. For å sikre at beredskapsplanene blir forstått
og etterlevd også av disse, må det vurderes å få planene
oversatt til aktuelle språk. Dette må den enkelte
virksomhet selv vurdere.
Spørsmål:
I vår bedrift har vi porter som ikke alltid fungerer,
og når disse slutter å virke så blir vi i industrivernet
bedt om å stille som portvakter. Er dette noe vi kan
pålegges?
Svar:
I forskrift og retningslinjer for industrivern er det
ikke tillagt industrivernet noen bestemte oppgaver
unntatt når det er inntruffet en uønsket hendelse.
Det er underforstått at visse forberedende oppgaver
må løses; risikovurdering, opplæring, øvelse, anskaffelse
og vedlikehold av materiell osv, knyttet til
beredskapsinnsatsen.
Når det gjelder å bruke industrivernpersonell som
portvakt, vil i utgangspunktet industrivernets folk
være likestilt med de andre ansatte. Det kommer antakelig
under arbeidsgivers styringsrett å bestemme
hvem som må ta oppgaven å være portvakt når det
er behov for det. NSO verken kan eller vil ta stilling
til hvem som skal ta slike oppgaver, eller hvem som
ikke skal ta dem. Men ledelsen må være innforstått
med at dersom en fra industrivernet blir satt til å
være portvakt, må vedkommende forlate sin post
og slutte seg til industriverngruppa dersom det går
alarm.
Vi har foreløpig følgende kurs i Oslo:
24 timer grunnopplæring 2011
14.–16. september
16.–18. november
7.–9. desember
Ta kontakt for tilbud
på bedriftsintern opplæring
OBS – ny internettadresse:
www.kunnskapgirtrygghet.no
Tlf.: 21 54 40 12
kurs@tryggogsikker.no • www.kunnskapgirtrygghet.no
www.nso.no
SIKKERHET nr. 4 • 2011 25

i NSO-fokus
Øver dere eller ser det bare slik ut?
Enkelte virksomheter tror de øver, men gjør det egentlig ikke.
Av: Frode Kristoffersen, NSO
Som inspektør med flere års erfaring
i NSO, ser jeg fra tid til annen
at enkelte virksomheter tror de øver,
men gjør det egentlig ikke, selv om
de bruker tid og ressurser på industrivernet.
Øvelse defineres som all praktisk
industriverntrening som er med på å
vedlikeholde eller heve industrivernets
kompetanse.
Det er dessverre slik at kunnskap
og kompetanse avtar med tiden hvis
den ikke vedlikeholdes. Derfor er
det et myndighetskrav å øve. Under
tilsyn hender det at noen sier de må
repetere hvordan slanger og grenrør
skal koples før øvelsen kan fortsette.
Øver man bare én gang per år
skjer kanskje dette. Og hvis man av
en eller annen grunn uteble fra den
forrige øvelsen, blir ikke situasjonen
bedre. Man tror man kan, men
virkelighetens øyeblikk avslører noe
annet.
Konsekvensreduserende
Industrivernet er en beredskapsorganisasjon.
Det vil si at de skal være
forberedt til innsats mot hendelser i
virksomheten. I utgangspunktet er
industrivernet konsekvensreduserende
og ikke forebyggende. Forebyggende
arbeid skal i prinsippet hindre
at ulykker skjer. Industrivernet går i
innsats når en ulykke er et faktum.
De hindrer ikke ulykken, men gjør
sitt beste for å redusere konsekvensene
av den.
For å klare denne jobben, må industrivernet
være godt utrustet, opplært
og øvet.
Eksempel 1 – Evakueringsøvelse
Eksempel 1 – En virksomhet hadde
følgende tre øvelser et år:
• Øvelse 1: Planlegge øvelsen
• Øvelse 2: Gjennomføre en evakueringsøvelse
• Øvelse 3: Summere opp øvelsen og
skrive øvelsesrapport.
Industrivernet i denne virksomheten
fikk ikke øvd noe det året! Evakueringsøvelser
er viktig – men dette
er normalt ikke en øvelse for industrivernet.
Ta for eksempel Redningsselskapet.
Når det stormer på havet søker
båter ly i havn. Redningsbåten derimot,
drar ut for å hjelpe. Med rett
utstyr, god opplæring og reelle øvelser
kan den gå mot strømmen. Men
mangler båten dette, kan den likegodt
bli liggende ved kai.
Slik er det også med industrivernet.
De evakuerer ikke, men går i
innsats fordi de har utstyr og kompetanse
til å gjøre det. De andre skal
selvfølgelig forlate skadestedet. Når
dette er sagt, kan det selvfølgelig
være flere fordeler med å la industrivernet
øve parallelt med en evakueringsøvelse.
Eksempel 2 – Vedlikehold av utstyr
Eksempel 2 – En virksomhet hadde
planlagt fem øvelser i 2011:
• Én av øvelsene var evakueringsøvelse,
som vi allerede har kommentert.
• Fire andre øvelser var «kjentmannsprøve»:
materiell i beredskapscontainer,
førstehjelp i bedriften,
brannslukningsmateriell i
bedriften skal finnes og kontrolleres,
rømningsveier og ledelys skal
finnes og kontrolleres.
Det er ingen tvil om at det er viktig
å vite hvor utstyret er, og sjekke at
det fungerer som det skal. Men dette
kan knapt sies å gjøre en innsatsperson
bedre til operativ innsats.
Øvelsene er med andre ord knapt
hva som kan sies å vedlikeholde og
heve industrivernets kompetanse.
Det de skulle gjort var å bruke utstyret
i aktuelle situasjoner – det er
industrivernøvelse.
Det er viktig å gjennomføre øvelser på riktig måte. Bildet er fra en øvelse ved AGA i Oslo
tidligere i år. Foto: Karoline K. Åbyholm
Unntak som bekrefter regelen
Men det finnes eksempler på at både
evakuering (for eksempel ansatte
med redusert mulighet til å evakuere
på egen hånd) og kontroll av utstyr
(for eksempel bruk av pusteluft) kan
regnes som øvelsestid. Men det er
viktig å fremheve prinsippene, ikke
alle unntakene. Mer stoff om øvelser
kan du lese på våre hjemmesider
www.nso.no, hvor det også finnes en
link til vårt faghefte «Øvelser» som
kan lastes ned gratis. God øvelse!
26 SIKKERHET nr. 4 • 2011 www.nso.no

i NSO-fokus
Positive innsatsledere
Tekst og foto: Karoline K. Åbyholm, NSO
Under SIMKAT-kurset som ble avholdt
i juni, var det rekordmange
kvinnelige innsatsledere. På fire av
de fem spillene var det kvinnene
som bestemte. Men hvordan opplevde
de det selv? Vi tok en prat med tre
av innsatslederne.
Ane Arstad, Slagen raffineri
– Hvordan opplevde du å være innsatsleder
under SIMKAT-spillene?
– Det føles som et veldig stort ansvar,
og forventningene fra de rundt deg
bygger oppunder presset. Det å oppleve
seg selv i en slik rolle er lærerikt.
Etter endt øvelse får man mange
konstruktive tilbakemeldinger på
hvordan man oppleves av de rundt
seg. Man får virkelig testet hvordan
man takler stress.
– Hva mener du er hovedforskjellene
på en mannlig og kvinnelig innsatsleder
– hvis du mener det er forskjell?
– Jeg tror forskjellene i hvordan man
fungerer som innsatsleder avhenger
av personlighet i tillegg til erfaring,
og lite eller ingenting av kjønn.
Innsatslederne Cecilie Maria Holst (f.v.), Ane Arstad og Wenche Natvik er alle godt fornøyde med
SIMKAT-kurset. Foto: Karoline K. Åbyholm
Wenche Natvik, NorSun
– Hvordan opplevde du å være innsatsleder
under SIMKAT-spillene?
– Jeg var innsatsleder på første øvelsen
og da følte jeg at jeg famlet litt
i blinde. Alt var nytt og jeg var litt
usikker på hvordan alt skulle skje.
Men jeg lærte masse, og hadde gjort
en del endringer dersom jeg skulle
vært innsatsleder senere i spillet.
– Hva mener du er hovedforskjellene
på en mannlig og kvinnelig innsatsleder
– hvis du mener det er forskjell?
– Vi ble fortalt på kurset at kvinnelige
innsatsledere er mer nøyaktige.
Erfaring fra jobb tilsier det samme.
Jeg tror kvinner tenker litt lenger
fremover, og er mer proaktive. I til-
legg tenker vi mer på detaljer, og
praktiske løsninger. Generelt er det
viktigste at innsatsleder beholder
roen og prøver å lede teamet.
Cecilie Maria Holst, NorSun
– Hvordan opplevde du å være innsatsleder
under SIMKAT-spillene?
– Å være innsatsleder under spillene
var morsomt! Pulsen kom helt klart
opp, og adrenalinnivået økte markant.
Et stort pluss var at det også
var politifolk, brannmenn og førstehjelpere
på stedet som bidro med
sin kompetanse til å gjøre spillene
enda mer realistiske. I enkelte tilfeller
så var det nesten frustrerende når
spillet var over, fordi alle oppgavene
ikke var løst, og instinktivt har man
lyst til å fortsette til alt er under
kontroll!
– Hva mener du er hovedforskjellene
på en mannlig og kvinnelig innsatsleder
– hvis du mener det er forskjell?
– I følge kursleder så er kvinnelige
innsatsledere kanskje mer nøye enn
sine mannlige kolleger, og mer detaljfokuserte,
men siden det ikke
var mannlig innsatsleder på noen
av spillene hvor jeg fikk være «ute
i felten» så er det vanskelig å svare
på. Det jeg la merke til under spillene
var at de lederne som gjorde det
best – uavhengig av kjønn – var de
som virkelig evnet til å beholde roen,
og hadde tillit til sine kolleger og delegerte
oppgaver.
www.nso.no
SIKKERHET nr. 4 • 2011 27

Sivilforsvaret
75 år med Sivilforsvaret
Jubileumsorganisasjonen er fortsatt aktuell, og bidrar med hjelp i etterkant av de
tragiske hendelsene i Oslo og på Utøya.
Av: Karoline Kathrine Åbyholm, NSO
22. juli 2011. En dato Oslo og Norge
aldri vil glemme. Dagen da uskyldige
mennesker mistet livet på de mest
grusomme vis.
Men oppi all tragedien finnes det lys.
Beredskapen i Oslo og Norge stod
klare til å hjelpe sårede og etterlatte
i det som er kjent som Norges verste
terrorhandling. Her har også Sivilforsvaret
en sentral rolle, og bidro
politi- og brannvesen ved å hente
inn ressurser fra hele Østlandet.
Etter den spanske borgerkrigen
Men historien til Sivilforsvaret går
28 SIKKERHET nr. 4 • 2011 www.nso.no

Sivilforsvaret
Sivilforsvaret 75 år
• Jubileet vil bli markert ved ulike
arrangermenter rundt om i hele
landet.
• Hovedmarkeringen vil finne sted
ved Sivilforsvarets beredskaps- og
kompetansesenter på Starum i
Oppland tirsdag 20. september. Her
vil det bli bred presentasjon av
Sivilforsvaret både i historisk perspektiv
og slik etaten fremstår for
å møte dagens og morgendagens
utfordringer.
• Dagen før, mandag 19. september,
vil det være en markering med en
øvelse i Oslo sentrum.
Sivilforsvaret bistår ofte politiet i leting etter savnede personer.
Foto: Paal-André Schwital/Sivilforsvaret
Det var den spanske borgerkrigen som var den
utløsende faktoren for at det sivile luftvernet
ble opprettet. Loven trådde i kraft 10. juli 1936.
Foto: Sivilforsvaret
Det var stort opplæringsbehov i Sivilforsvaret. På det meste omfattet organisasjonen over 80.000
mennesker. Foto: Sivilforsvaret
så langt tilbake som 1936, da det
ble opprettet et sivilt luftforsvar
for vern av sivilbefolkningen under
navnet Det Frivillige Luftvern (senere
Det Sivile Luftvern). Det var den
spanske borgerkrigen som var den
utløsende faktoren for at det sivile
luftvernet ble opprettet, men også
erfaringene fra første verdenskrig
spilte inn. Loven trådde i kraft 10.
juli 1936.
Det ble opprettet 27 luftvernkretser
i byer og tettsteder. Alle byer
med over 10.000 innbyggere i Sør-
Norge og over 5.000 i Nord-Norge
ble egne luftvernkretser. I 1945 var
det 42 kretser.
Varsling og evakuering
Det ble tidlig klart at varsling, evakuering
og tilfluktsrom var tiltak
www.nso.no
for luftvernet. Offentlige tilfluktsrom
ble en statsoppgave, men huseiere
ble selv pålagt å kjøpe utstyr til
brannslukking.
Allerede før andre verdenskrig
hadde alle luftvernkretser sirener for
å varsle befolkningen.
Alt ansvar var likevel ikke offentlig.
Større bedrifter hadde opp
gjennom årene bygd opp sin egen
beredskap mot ulykker og brann.
☞
SIKKERHET nr. 4 • 2011 29

Sivilforsvaret
Andre verdenskrig
Etter at den første flyalarmen i Oslo
9. april 1940, ble det på mindre enn
sju uker innsatt vern for over 60.000
mennesker i hovedstaden.
I mars 1941 tok det tyske politiet
kontroll over luftvernet, men i praksis
var det sivile luftvernet en norsk,
anti-nazistisk organisasjon gjennom
hele krigen der norske motstandsfolk
kunne gjøre legal tjeneste.
Nytt sivilt forsvar
Etter krigen begynte oppbyggingen
av et nytt sivilt forsvar. Den nye organisasjonen
ble blant annet basert
på såkalt fjernhjelpkolonner, som
skulle gi hjelp til områder der det
enten ikke var sivilforsvar, eller der
ødeleggelsene kunne forventes å bli
svært store.
I 1947 fikk Norge en ny lov om sivilforsvar.
Loven ble supplert i 1949,
etter at jernteppet delte Europa. Det
nye sivilforsvaret forsette å være sivilt,
underlagt Justisdepartementet.
Oppgaver i fredstid
Sivilforsvaret fikk en ny lov 17. juli
1953, og fikk samme år sin egen sentrale
skole på Grorud i Oslo. Denne
ble i 1969 flyttet til Heggedal i Asker.
Det var stort opplæringsbehov i en
organisasjon som på det meste omfattet
over 80.000 mennesker.
Sentralledelsen i Sivilforsvaret
ble i 1970 flyttet fra Justisdepartementet
til Direktoratet for sivilt
beredskap. Siden 1990 har arbeidet
vært mest rettet mot oppgaver
i fredstid, med modernisering og
omorganisering av Sivilforsvaret. I
2003 ble Sivilforsvaret underlagt Direktoratet
for samfunnssikkerhet og
beredskap (DSB).
Slik Norge bruker Sivilforsvaret i
fredstid, er det en rimelig forsikring
for at samfunnet har folk og materiell
å sette inn når andre ressurser
ikke strekker til.
Kilder: Sivilforsvaret og Wikipedia
Sivilforsvaret er en viktig aktør i den norske redningstjenesten.
Foto: Paal-André Schwital/Sivilforsvaret
Sivilforsvaret
• Sivilforsvaret er i fredstid en norsk statlig forsterkningsressurs for
nød- og redningsetatene ved større ulykker og naturkatastrofer.
• I krigstid skal Sivilforsvaret beskytte sivilbefolkningen mot skader
ved krigshandlinger.
• I tillegg til hjelpemannskaper har Sivilforsvaret i krisesituasjoner
ansvar for informasjon til sivilbefolkningen, varsling med sirener,
drift av tilfluktsrom og evakuering.
Sivilforsvaret er underlagt Direktoratet for samfunnssikkerhet og beredskap
(DSB).
Kilde: Wikipedia
Her gjør Sivilforsvaret en innsats mot akutt oljeforurensning i Moss havn.
Foto: Paal-André Schwital/Sivilforsvaret
30 SIKKERHET nr. 4 • 2011 www.nso.no

Aktivitetskalender NSO
Påmelding til alle kurs – bruk NSOs nettsted www.nso.no; NSO kurs.
Industrivernlederkurs*
klasse I/II 07.-09. juni 2011 Thon Hotel Vettre
klasse III/IV 10.-11. mai 2011 Thon Hotel Vettre
Grunnkurs i innsatsledelse (GIL)*
Obligatorisk teoridel 18. feb 2011 Frist besvare teoriprøven
Avsluttende praktiske øvelser: 1 22.-23. mars 2011 Langesund
2 03.-04. mai 2011 Hobøl/Ski
3 07.-08. juni 2011 Langesund
4 15.-16. juni 2011 Langesund
5 23.-24. aug 2011 Hobøl/Ski
6 06.-07. sept 2011 Langesund
7 20.-21. sept 2011 Hobøl/Ski
7 05.-06. okt 2010 Hobøl/Ski
8 02.-03. nov 2010 Hobøl/Ski
Praktisk risikoanalyse 24.-25. aug 2011 Bergen
04.-05. okt 2011 Thon Hotel Vettre
SIMKAT 07.-09. juni 2011 Thon Hotel Vettre
29/11.-01/12. 2011 Thon Hotel Vettre
Fagseminar 06.-07. des 2011 Sandefjord
Utgivelsesplan 2011
Nr. Manus Utgiv.
1 14. jan uke 06
2 04. mar uke 13
3 02. mai uke 22
4 12. aug uke 36
5 30. sep uke 43
6 04. nov uke 48
Bladet SIKKERHET er gratis
for virksomheter tilknyttet
NSO og medlemsvirksomheter
i NSR.
Antall blader virksomheten
mottar står i forhold til
antall mannskaper i
industrivernet.
NSR-medlemmer mottar
ett eksemplar.
Tilknyttede virksomheter
kan tegne tilleggsabonnement
for 50 % av ordinær
pris.
Produksjon:
Layout/prepress/annonser:
Arne Gustafson
agustaf@online.no
Tlf.: 93 02 67 37
Trykk:
Merkur Trykk
Stanseveien 9, Oslo
Tlf.: 23 33 92 00
www.merkurtrykk.no
Bedriftsinterne aktiviteter
På forespørsel
Abonnement:
Kr. 350/år. Tilleggsab.
medlemmer: kr. 175/år.
sikkerhet@nso.no
For mer informasjon
om de enkelte kurs
– og for andre
aktuelle kurs fra NSO:
www.nso.no
*) Obligatorisk for (enkeltpersoner) i industrivernpliktige bedrifter i.h.t. retningslinjer for industrivern.
Det tas forbehold om endringer
www.nso.no
SIKKERHET nr. 4 • 2011 31

Protecting people
since 1853
www.devold.com