Sikkerhet nr 3 2017
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
010001010011100100001000000011001000011101010001000000<br />
011100110011010010011010110011010110011001010011100100<br />
<strong>Sikkerhet</strong><br />
001111110010001010011100100001000000011001000011101010<br />
001000000011100110011010010011010110011010110011001010<br />
011100100001111110010001010011100100001000000011001000<br />
011101010001000000011100110011010010011010110011010110<br />
011001010011100100001111110010001010011100100001000000<br />
011001000011101010001000000011100110011010010011010110<br />
Fagblad om industrivern, trygghet og sikring<br />
011010110011001010011100100001111110010001010011100100<br />
001000000011001000011101010001000000011100110011010010<br />
Nr. 3 • <strong>2017</strong><br />
011010110011010110011001010011100100001111110010001010<br />
011100100001000000011001000011101010001000000011100110<br />
011010010011010110011010110011001010011100100001111110<br />
010001010011100100001000000011001000011101010001000000<br />
011100110011010010011010110011010110011001010011100100<br />
001111110010001010011100100001000000011001000011101010<br />
001000000011100110011010010011010110011010110011001010<br />
011100100001111110010001010011100100001000000011001000<br />
011101010001000000011100110011010010011010110011010110<br />
011001010011100100001111110010001010011100100001000000<br />
011001000011101010001000000011100110011010010011010110<br />
011010110011001010011100100001111110010001010011100100<br />
001000000011001000011101010001000000011100110011010010<br />
011010110011010110011001010011100100001111110010001010<br />
Er du sikker?<br />
011100100001000000011001000011101010001000000011100110<br />
011010010011010110011010110011001010011100100001111110<br />
010001010011100100001000000011001000011101010001000000<br />
011100110011010010011010110011010110011001010011100100<br />
001111110010001010011100100001000000011001000011101010<br />
001000000011100110011010010011010110011010110011001010<br />
011100100001111110010001010011100100001000000011001000<br />
011101010001000000011100110011010010011010110011010110<br />
011001010011100100001111110010001010011100100001000000<br />
011001000011101010001000000011100110011010010011010110<br />
011010110011001010011100100001111110010001010011100100<br />
001000000011001000011101010001000000011100110011010010<br />
011010110011010110011001010011100100001111110010001010<br />
011100100001000000011001000011101010001000000011100110<br />
011010010011010110011010110011001010011100100001111110<br />
010001010011100100001000000011001000011101010001000000<br />
011100110011010010011010110011010110011001010011100100<br />
001111110010001010011100100001000000011001000011101010<br />
001000000011100110011010010011010110011010110011001010<br />
011100100001111110010001010011100100001000000011001000<br />
011101010001000000011100110011010010011010110011010110<br />
011001010011100100001111110010001010011100100001000000
Nettstedet Regelhjelp.no drives av Arbeidstilsynet, Direktoratet for samfunnssikkerhet og beredskap (DSB), Klima- og forurensningsdirektoratet<br />
(Klif), Næringslivets sikkerhetsorganisasjon (NSO), Helsedirektoratet, Nærings- og handelsdepartementet (NHD) og<br />
Statens strålevern.<br />
Finn ut hva som kreves av din virksomhet<br />
Bedrift AS<br />
Fyll inn navn eller organisasjonsnummer for din<br />
virksomhet, så viser vi deg hvilke krav som gjelder for<br />
bransjen<br />
FINN KRAV<br />
Vet du hvilken bransje<br />
du tilhører?<br />
Gå direkte til<br />
bransjeoversikten<br />
Kravene til din bransje<br />
Enkelt og oversiktlig<br />
Det kan være en utfordring å holde seg orientert om alle krav og<br />
regler innenfor helse, sikkerhet og miljø. På regelhjelp.no er disse<br />
reglene presentert enkelt og oversiktlig for 58 bransjer.<br />
Skriv inn bedriftsnavn eller organisasjonsnummer, klikk – og du<br />
får opp kravene som gjelder for din bransje. Du kan også bla i<br />
bransjelisten og velge den bransjen du er interessert i.<br />
Også nyhetstjenesten på regelhjelp.no er bransjespesifikk. Ved å<br />
abonnere på nyheter, holder du deg oppdatert om nytt regelverk<br />
og endringer for din bransje.<br />
Nyhetsoppdateringene blir sendt gratis via e-post til abonnentene.<br />
Regelhjelp.no viser vei til regelverk for helse, sikkerhet, miljø og<br />
internkontroll innen: arbeidsmiljø, brann- og eksplosjonsvern,<br />
el-sikkerhet, industrivern, forurensning, servering,<br />
produkter og forbrukertjenester og miljørettet helsevern.<br />
Hvilke krav stiller regelverket til<br />
arbeidslokalene våre?<br />
Hvordan ivaretar vi brannsikkerheten?<br />
Kravene mye Hvor farlig til avfall din kan vårt<br />
bransje<br />
oppbevare før vi må varsle myndighetene?<br />
Hvordan Hvilke krav unngår stiller vi at regelverket kundene våre til arbeids får -<br />
helseskadelig mat?<br />
lokalene våre?<br />
Hvordan gjennomfører ivaretar vi brannsikkerheten?<br />
vi en risikoanalyse?<br />
Hva Hvor innebærer mye farlig informasjonsplikten avfall kan firmae vårt for oppbevare<br />
før vi må varsle myndighetene?<br />
forbrukerproduktet?<br />
Trenger vi serveringsbevilling for å tilby<br />
gratis Hvordan mat på gjennomfører et utendørs vi arrangement?<br />
en risikoanalyse?<br />
Hva innebærer informasjonsplikten for<br />
Må bedriften vår ha industrivern?<br />
forbrukerproduktet?<br />
Hvor omfattende skal HMS-arbeidet være?<br />
Trenger vi serveringsbevilling for å tilby<br />
gratis mat på et utendørs arrangement?<br />
Må bedriften vår ha industrivern?<br />
Hvor omfattende skal HMS-arbeidet være?<br />
I oversikten over temaene er det gjort en prioritering mellom viktige<br />
og andre krav.<br />
Nettstedet henvender seg spesielt til daglig leder, HMS-ansvarlig,<br />
industrivernleder og verneombud i små og mellomstore virksomheter.<br />
nettstedet regelhjelp.no
eportasjebildet<br />
DATA OG PROPELLER: Brunvoll AS lager thrustersystemer, som sørger for styring, framdrift og manøvrering av avanserte skip. De produserer hele<br />
systemet; fra databrikker til store propeller. Før de leverer fra seg et produkt må selv den minste elektronikk-bit være i orden. Foto: Andreas Winter<br />
Førstehjelpskurs: Det er tiden til de ansatte som koster..<br />
Hva foretrekker dere<br />
• Et livreddende førstehjelpskurs med en varighet av 3-4<br />
timer der deltakerne blir vurdert av en instruktør, og får<br />
et diplom ut i fra instruktørens vurdering.<br />
• Et kurs som tar 5-15 minutter der deltakerne får tilbakemelding<br />
fra ”pasienten” øvelsesdukken på utførsel av<br />
øvelsene. Når deltakeren har tilfredsstillende resultat,<br />
og selv er fornøyd får de et diplom for korrekt utført<br />
livreddende førstehjelp.<br />
Testsenter<br />
livreddende førstehjelp<br />
En ny metode å trene livreddende ferdigheter på. Basert<br />
på forskningsresultater. Opplæringen sikrer høy ytelse<br />
hver gang, der utøveren får direkte muntlig veiledning av<br />
livredningsdukken. Med Hjertevakten® sin teststasjon,<br />
sparer du tid, penger, og får et ferdighetsbevis og bidrar til å<br />
redde flere liv.<br />
”Litt hardere. Bra. Ikke<br />
så raskt. Veldig bra”.<br />
Ei kvinnerøyst kjem<br />
heile tida med korrigeringar<br />
og vegleiing medan<br />
Magnhild Varanes gjev<br />
30 brystkompresjonar<br />
og følgjer opp med to<br />
innblåsingar.<br />
Slik fungerer det<br />
Kundens<br />
ansvarshavende<br />
HR<br />
HR<br />
- Sender inn liste over deltakerne.<br />
- Får en oversikt over hvem som<br />
har tatt kurset, og resultatet av<br />
gjennomføringen.<br />
Testsenter<br />
Resultatene<br />
registreres<br />
fortløpende<br />
Priser:<br />
• Oppstartkostnader kr 3.000,-<br />
• Per deltaker hjertelungeredning kr. 500,-<br />
• Per deltaker hjertelungeredning + Bruk av<br />
hjertestarter kr. 550,-<br />
Administrasjonen hos<br />
Hjertevakten<br />
På testsenteret kan en velge om en vil gå<br />
direkte på testen, eller se instruksjonsvideo<br />
og øve først.<br />
Øvelsen kan gjentas helt til en er fornøyd.<br />
Kursdeltakeren<br />
Deltakerne<br />
- Får en innbydelse til kurset.<br />
- Når de kommer tilbake til<br />
arbeidsplassen etter å ha<br />
klart kurset,<br />
har de fått et ferdighetsbevis<br />
tilsendt på e-post.<br />
Tetstsenteret<br />
Utplasseres hos dere i en avtalt periode, slik at<br />
kursdeltakerene kan benytte seg av den 24 timer i<br />
døgnet, i en ledig stund<br />
www.hjertevakten.com - hlr.post@hjertevakten.no - + 47 53 48 20 50
Seig døgnflue<br />
I Dagens Næringsliv tirsdag 20. august 1996 kunne<br />
man lese overskriften: «Internett en flopp!». Der<br />
mente skribenten at «internett er en motegreie som<br />
kommer til å dø ut om et par år».<br />
Det er lett å trekke på smilebåndet av slike uttalelser<br />
i dag, for den kunne ikke vært lenger unna<br />
sannheten nå, over 20 år senere. I dagens samfunn er<br />
det omtrent umulig å ikke legge igjen digitale fotavtrykk.<br />
Enten ved bruk av en smarttelefon, bankkort<br />
eller en bombrikke i bilen.<br />
Samfunnet og næringslivet er i dag avhengige av<br />
internett og en digital hverdag. De fleste industrivernpliktige<br />
virksomheter har produksjon som er<br />
avhengig av samlebånd, automatikk, datamaskiner<br />
og nettilgang. Digitaliseringen er med på å gjøre<br />
mange tunge arbeidsoppgaver i industrien tryggere,<br />
raskere og enklere.<br />
Tidligere var industri vernet rettet mot villede<br />
handlinger. Norsk Industriforbund etablerte i 1938<br />
forløperen til NSO for å sikre industrien mot krig,<br />
altså mot villede<br />
«Digitalisering er<br />
så mye mer enn<br />
roboter og kunstig<br />
intelligens.»<br />
handlinger som<br />
kunne såre virksomheten.<br />
Etter<br />
andre verdens krig<br />
rettet industrivernet<br />
seg mer og<br />
mer mot ulykker<br />
og hendelser. Nå er tendensen at virksomheter igjen<br />
bør tenke mer på de villede handlingene – at noen vil<br />
deg og din arbeidsplass vondt.<br />
«Men er dette aktuelt for oss? Vi utfører mesteparten<br />
av arbeidet manuelt, og har ikke roboter eller<br />
flyvende droner som gjør jobben for oss», vil noen<br />
kanskje si.<br />
Men digitalisering er så mye mer enn roboter,<br />
droner og kunstig intelligens. Bare forestill deg at<br />
virksomheten din er uten nettilgang i en ukes tid.<br />
Hvordan vil det påvirke produksjonen deres? Vil<br />
det gå ut over kontakten med kunder, leverandører<br />
og distribusjonen av produktene deres? Det å miste<br />
nettet, bli hacket eller miste viktig informasjon kan<br />
slå virksomheten, produksjonen og omdømmet deres<br />
minst like langt tilbake som en alvorlig arbeidsulykke<br />
eller brann.<br />
I denne utgaven av <strong>Sikkerhet</strong> har vi viet mesteparten<br />
av plassen til hvordan du kan sikre virksomheten<br />
best mulig mot digitale farer og trusler. Det skal ikke<br />
alltid så mye til, men det å ha en bevisst<br />
holdning til hvordan man opptrer på<br />
nett er viktig.<br />
Ved å utføre godt nettvett kan du<br />
være med på å sikre virksomheten<br />
din.<br />
Foto: Andreas Winter<br />
20 Kommentaren<br />
22 Følg reglene – unngå trøbbel<br />
26 Ofte stilte spørsmål: Hacking<br />
32 Firedoblet antall registrerte avvik<br />
33 Våre beste tips<br />
34 Nasjonal sikkerhetsmåned i oktober<br />
38 NSR leder: Følger du med i timen?<br />
39 Valgte åpenhet etter dataangrep<br />
40 Kripos: Dataangrep kan ramme alle<br />
46 Sikring inn i HMS-regelverket<br />
48 Vart du skræmt no?<br />
49 Huskelisten<br />
Forsiden: Alle tegn du ser på en dataskjerm er bygget opp<br />
av binær kode, det vil si 0 og 1 i sekvenser på 8. På forsiden<br />
står «Er du sikker?» i binær kode: E = 01000101, r = 01110010,<br />
mellomrom = 00100000, d = 01100100, u = 01110101<br />
<strong>Sikkerhet</strong><br />
Nr 3 • <strong>2017</strong> • Årgang 63<br />
ISSN 0805-6080<br />
Utgis av Næringslivets<br />
sikkerhets organisasjon (NSO)<br />
og Nærings livets <strong>Sikkerhet</strong>s råd<br />
(NSR)<br />
Abonnement: Kr. 350 pr år for<br />
andre enn virksomheter tilknyttet<br />
NSO og NSR.<br />
Godkjent Opplag: 4.423,<br />
fire utgaver per år.<br />
4<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
tema: digitalisering<br />
Beskytt bedriften<br />
Ved å følge sikkerhetsekspertenes råd<br />
kan bedrifter unngå store kostnader.<br />
28<br />
6 Hendelser<br />
50 Revidering av forskrift<br />
om industri vern<br />
54 Industrivernleder tatt<br />
på senga<br />
Askøybedrifter<br />
idemyldrer<br />
Hedersdiplom<br />
55 – Ikke undervurder<br />
verdien av trening<br />
56 Systematisk ledelse av<br />
slukkeinnsatser<br />
57 – NSO bør ha meir<br />
operative tilsyn<br />
58 NSOs kurskalender<br />
59 Neste nummer<br />
Satser på interne krefter<br />
Brunvoll AS er klare på hvorfor de har<br />
lyktes med den digitale hverdagen:<br />
– Alle kan kjøpe teknologi, men det<br />
er den interne kompetansen som er<br />
avgjørende.<br />
1010 10<br />
Store og kostbare angrep<br />
Dataangrep koster verden flere billioner<br />
kroner hvert år, og kan få store<br />
konsekvenser for mange. Les om de<br />
største angrepene de siste årene.<br />
35<br />
– Vi må kunne<br />
gjøre alt uten IKT<br />
Kongsberg teknologipark gjør det de<br />
kan for å eliminere muligheten for<br />
menneskelige sikkerhetsfeil.<br />
42<br />
Minikurs på<br />
konferansen<br />
På årets industrivernkonferanse<br />
kan deltakerne ta mini-kurs i<br />
øvelsesplanlegging og beredskapsanalyse.<br />
52<br />
Kontakt:<br />
Postboks 349, 1326 Lysaker<br />
tlf: 90 100 333<br />
epost: sikkerhet@nso.no<br />
www.nso.no<br />
Redaktør:<br />
Karoline K. Åbyholm<br />
karoline.abyholm@nso.no<br />
Bladbunad og annonser:<br />
Altern kommunikasjon,<br />
Ingeborg Altern<br />
kom@altern.no<br />
Trykk: Merkur Grafisk AS<br />
«<strong>Sikkerhet</strong>» innestår ikke for det faglige innhold<br />
i signerte artikler og ikke for kvaliteten<br />
på omtalte produkter.<br />
©NSO<strong>2017</strong> Føresegnene i åndsverklova<br />
gjeld for materialet i <strong>Sikkerhet</strong>. Utan særskild<br />
avtale med NSO er all eksemplarframstilling<br />
og tilgjengliggjering berre tillate så<br />
langt det har heimel i lov eller avtale med<br />
Kopinor, interesseorganisasjonen for rettshavarar<br />
til åndsverk.<br />
<strong>Sikkerhet</strong> er som medlem av Fagpressen<br />
forpliktet på Redaktør-plakaten og Vær<br />
Varsom-plakatens regler for god presseskikk.<br />
Pressens Faglige utvalg (PFU) er et<br />
klageorgan oppnevnt av Norsk Presseforbund<br />
som behandler klager mot mediene i<br />
presseetiske spørsmål.<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 5
hendelser<br />
Todalen<br />
Høyanger<br />
Stord<br />
Brum undda<br />
Begna<br />
Kårstø<br />
EVAKUERTE ALLE: Alle de ansatte ved Tine i Brumunddal ble evakuert etter at det ble varmgang i et filter.<br />
Slukket raskt ulmebrann<br />
Mandag 8. mai var det varmgang i et<br />
filter hos Tine SA Avd. Brumunddal,<br />
noe som førte til røykutvikling og full<br />
evakuering.<br />
– Dette skjedde i forbindelse med<br />
oppstart av ei pulvertørke. Det var en<br />
vifte som ikke startet og temperaturen<br />
ble så høy at det begynte å ulme i luftfiltrene,<br />
sier industri vern leder Anette<br />
Mostuen Wiken.<br />
Røyken ble detektert av brannvarslings<br />
anlegget, og innsats leder og<br />
resten av tilgjengelig industri vern var<br />
raskt på plass.<br />
– Alle de ansatte ble evakuert.<br />
Rommet hvor røyken oppstod ble<br />
undersøkt, og røykdykkere i Tines<br />
industri vern ble tilkalt samtidig som<br />
vi varslet brannvesenet. Brannvesenet<br />
kom raskt til oss, og gikk inn sammen<br />
med våre røykdykkere, sier Wiken.<br />
Ulmebrannen ble raskt slukket, og<br />
Foto: Gaute Freng/Ringsaker Blad<br />
de ansatte fikk gå tilbake til arbeidsplassene<br />
sine igjen.<br />
– I etterkant ble hendelsen evaluert,<br />
og vi mener alt i forbindelse med<br />
industri vern og innsatsledelse gikk<br />
helt problemfritt og i henhold til våre<br />
rutiner. Produksjon på den aktuelle<br />
tørka var i gang igjen i løpet av kvelden<br />
samme dag, sier Wiken.<br />
<br />
• NSO<br />
Brann på trevarebedrift i Lyngdal<br />
Brannvesenet rykket tirsdag 2. mai kl.<br />
20:20 ut til brann på Alloc AS i Lyngdal.<br />
Det melder Fædrelandsvennen.<br />
Alloc produserer finérplater og andre<br />
bygnings- og møbelplater.<br />
Ifølge avisen meldte 110 Agder at<br />
det brant i en flissilo.<br />
– Det har vært en ulmebrann i en<br />
frittstående silo som inneholder flis.<br />
Det er ikke åpne flammer, og ikke<br />
fare for personskader. Brannvesenet<br />
jobber med å begrense spredningen<br />
av brannen, opplyste politiets operasjonsleder<br />
klokken 21.00.<br />
Utrykningsleder i brannvesenet<br />
Sør-Lyngdal, Tallak Flaten, opplyser<br />
til Fædrelandsvennen at da brannvesenet<br />
forlot stedet, overlot de til<br />
industri vernet på Alloc å sørge for at<br />
brannen ikke blusset opp igjen.<br />
• NSO<br />
6<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Steinkjer<br />
l<br />
Skumla tank etter røykutvikling<br />
Industrivernet ved<br />
Talgø MøreTre har<br />
allerede implementert<br />
flere forbedringspunkter.<br />
Tirsdag 30. mai fikk Surnadal<br />
brannvesen melding om røykutvikling<br />
hos Talgø MøreTre AS.<br />
– Ledelsen fikk beskjed fra en avdelingsformann<br />
kl. 8 om at det kvelden<br />
før hadde blitt overfylling av en<br />
tank med linolje. En del oppvarmet<br />
linolje rant ned fra toppen av lagertanken<br />
og inn i den øverste delen av<br />
isolasjonsmateriellet som beskytter<br />
selve beholderen, sier industri vernleder<br />
Reinhard Wichmann.<br />
Samarbeidet med brannvesenet<br />
Han forteller at avdelingsformannen<br />
og daglig leder ble enige om at formannen<br />
skulle observere situasjon en<br />
og rapportere om uønskede hendelser<br />
i denne sammenheng.<br />
– Kl. 11:27 ringte formannen til<br />
daglig leder og meldte om uvanlig lukt<br />
og damp rundt lagertanken. Daglig<br />
leder vurderte situasjonen og varslet<br />
Surnadal brannvesen for å innhente<br />
eksperthjelp, sier Wichmann.<br />
Fire ansatte ved TalgøMøre Tre er<br />
medlemmer i Surnadal brann vesen og<br />
var med under utrykningen. Industrivernmannskapet<br />
jobbet med å rydde<br />
rundt den aktuelle avdelingen slik<br />
at innsatsbilene hadde mulighet til å<br />
komme frem. Industrivernet møtte<br />
brannvesenet i porten og koblet på<br />
virksomhetens brann vernutstyr for å<br />
være på den sikre siden.<br />
– Brannvesen med innsats leder<br />
var på plass kl. 11:35 og bestemte at<br />
området rundt lagertanken skulle bli<br />
skumlagt. En del isolasjonsmateriell<br />
rundt tanken ble fjernet og vannet,<br />
sier industri vern lederen.<br />
Kl. 12:00 ble det vurdert at situasjon<br />
en var under kontroll.<br />
Har startet tiltak<br />
I etterkant av hendelsen hadde virksomheten<br />
en evaluering av sin egen<br />
innsats under hendelsen.<br />
– Under evalueringen med<br />
industri vernmannskapet ble det en<br />
del kontroversielle diskusjoner angående<br />
våre varslingsrutiner. Konklusjonen<br />
var at det finnes et forbedringspotensial,<br />
sier Wichmann.<br />
Som et generelt forbedringspunkt<br />
ble det trukket frem at treningen med<br />
innsatsgruppene er statisk: At de lager<br />
rutiner og trener på dem. Det ble<br />
hevdet at mannskapene ikke alltid er<br />
«fleksible nok» hvis «usannsynlige»<br />
hendelser oppstår.<br />
– Her er det uten tvil mitt eget ansvar<br />
å sørge for at treningen skal bli<br />
mer varierende enn det har vært så<br />
langt. For å implantere dette i alle ledd<br />
skal vi ha en gjennomgang om dette<br />
på neste arbeidsmiljøutvalgmøte.<br />
Noen av de konkrete tiltakene som<br />
er etablert så langt er at ledelsen på<br />
Talgø MøreTre har opprettet en prosedyre<br />
for avdelingen hvor hendelsen<br />
skjedde som definerer maksgrenser<br />
for påfylling av lagertanker. I tillegg<br />
er det planlagt nye utvidede treningsøkter<br />
for innsatsgruppene og i dialog<br />
med ledelsen skal varslingsrutinene<br />
også bli vurdert og muligens revidert.<br />
– Positivt med kritikk<br />
Wichmann setter stor pris på kritikken,<br />
og ønsker å ta med seg læringspunktene<br />
i det videre arbeidet med<br />
industri vernet.<br />
– Jeg oppfatter det som bare positivt<br />
at mine kolleger er kritiske overfor<br />
den nåværende organiseringen, og at<br />
de kommer med konstruktive innspill<br />
slik at vi kan bli bedre. Å jobbe med<br />
voksne folk som er villige til å ta ansvar<br />
for og viser interesse for å prioritere<br />
sikkerheten på sin arbeidsplass,<br />
gjør det mye enklere å oppnå våre<br />
HMS-mål, sier Wichmann. NSO<br />
Hjullaster kjørte på truck<br />
Tirsdag 6. juni fikk politiet i Innlandet<br />
melding om et arbeidsuhell ved Begna<br />
Bruk AS i Oppland. Uhellet skal ha<br />
skjedd i forbindelse med lasting, da<br />
en hjullaster kjørte på en truck, melder<br />
Oppland Arbeiderblad (OA).<br />
Brann og ambulanse<br />
– Føreren (av trucken, red.anm.) var<br />
oppegående, men klaget over noe<br />
bryst- og hodesmerter. Brannvesenet<br />
kom raskt til stedet og tok hånd om<br />
vedkommende til ambulanse kom på<br />
plass, opplyses det ved operasjonssentralen<br />
i Innlandet politidistrikt,<br />
skriver OA.<br />
Industrivern leder Ole Slettebråten<br />
sier til <strong>Sikkerhet</strong> at den skadde pådro<br />
seg et ribbensbrudd og nå er tilbake<br />
i jobb.<br />
– Innsatsleder, en fra redningsstab<br />
og andre ansatte tok seg av den<br />
skadde og sjåføren på hjullasteren til<br />
nødetatene var på plass, sier Slettebråten.<br />
Vil redusere faren<br />
Han forteller at virksomheten i ettertid<br />
har prøvd å finne årsaken til hvorfor<br />
ulykken skjedde.<br />
– I etterkant hadde vi befaring på<br />
stedet for å finne ut hvordan dette<br />
kunne skje, og vi har sett på tiltak for<br />
å redusere faren for nye lignende hendelser.<br />
Det er blant annet satt varsellamper<br />
på alle interne kjøretøy, og<br />
presisert overfor sjåfører om at disse<br />
lampene skal være på. Vi fikk se at det<br />
er viktig at alle ansatte vet hva som<br />
skal gjøres når et uhell oppstår, både<br />
når det gjelder varsling og innsats, sier<br />
han.<br />
• NSO<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 7
hendelser<br />
LØPENDE KONTAKT: Både industrivernet og brannvesenet ble varslet under et branntilløp hos Inntre. Brannvesenet var raskt på stedet, og<br />
gikk inn med sine røykdykkere. Innsatsleder i industrivernet hadde løpende kontakt med innsatsleder i brannvesenet. Foto: Leif Arne Holme<br />
Branntilløp hos Inntre<br />
Det begynte å brenne i en kompressor<br />
hos Inntre AS Avd. Steinkjer mandag<br />
22. mai.<br />
– Vi hadde et branntilløp i en<br />
kompressor på et av våre høvlerier.<br />
Branntilløpet ble forsøkt slukket med<br />
brannslukningsapparat av de som<br />
jobbet på stedet, men de ga fort opp<br />
da det ble for mye røyk i rommet, sier<br />
industri vern leder Rune Ulvin.<br />
Rask slukking<br />
Både industri vernet og brannvesenet<br />
ble varslet. Ulvin forteller at brannvesenet<br />
var meget raskt på stedet, og<br />
gikk inn med sine røykdykkere. Brannen<br />
ble raskt slukket, og vifter for å<br />
blåse ut røyk ble startet.<br />
– Vår rolle i industri vernet ble<br />
under denne hendelsen primært støtte<br />
til brannvesenet. Vår innsats leder<br />
hadde løpende kontakt med innsatsleder<br />
brann. Vi dirigerte brann og<br />
ambulanse til riktig sted da vi har et<br />
stort område å finne frem på, sier han.<br />
Godt samarbeid<br />
Industrivernet bistod også brannvesenet<br />
med en kjentmann.<br />
– Både innsats lederen vår og kjentmannen<br />
bistod brannvesenet. Jeg<br />
kjenner ikke til alt som ble diskutert<br />
mellom industri vernet og brannvesen<br />
et, men jeg regner med mye dreide<br />
seg rundt strømforsyning til kompressoren,<br />
og hvilke porter og dører<br />
som kan åpnes for effektiv utluftning<br />
av røyk. Ingen av våre industri vernere<br />
var med inn under selve slukkingen,<br />
men ble med brannvesenet inn etter<br />
at brannen var slukket for å inspisere<br />
ulykkesstedet, sier Ulvin. NSO<br />
8<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
TRAUMEDAG<br />
Klepp 31.oktober <strong>2017</strong>- kl. 0830 -1500<br />
Røykutvikling i kraftstasjon<br />
Industrivernet bisto under en aksjon i en av Statkrafts<br />
stasjoner i Høyanger torsdag 22. juni. Det var varslet<br />
røykutvikling/brann i Eringsdalen kraftstasjon, som<br />
ligger rundt 5 km fra Hydro aluminium AS Høyanger<br />
aluminiumsverk sin brann stasjon.<br />
– Vi har et nært samarbeid med Statkraft som har<br />
en kraftstasjon inne på vårt område. Hydros industrivern<br />
har en avtale med kommunen om at vi fungerer<br />
som lokalt brann vern for Høyanger kommune, sier<br />
industri vern leder Aksel Svarstad.<br />
Statkraft bidrar også med to mann til Hydros<br />
industri vern som har en bemanning på 24 personer.<br />
Brann i maski<strong>nr</strong>om<br />
Meldingen om røykutviklingen kom kl. 12:36. Industrivernet<br />
ryktet ut på en trippelvarsling sammen med<br />
politi og ambulanse. Da industri vernet ankom inngangen<br />
til kraftstasjon ble det opprettet KO med politi.<br />
Personellet som jobbet på kraftstasjon var kommet ut.<br />
– Vi fikk opplyst at det ikke var flere personer inne<br />
i anlegget og at det ikke var røyk i maskinhallen og<br />
tilkomsttunnelen. Dette kunne også sentralen til Statkraft<br />
bekrefte via kamera. Brannvarslingsanlegget indikerte<br />
brann i maski<strong>nr</strong>om rundt et av produksjonsaggregatene,<br />
sier Svarstad.<br />
Kjentmannsfunksjon<br />
Røykdykkere og kjentmann fra Statkraft tok seg inn til<br />
maskinhallen som ligger 700 meter inne i fjellet. Her<br />
ble det etablert fremskutt KO, og røykdykkere tok seg<br />
nedover i etasjene rundt produksjonsaggregatet.<br />
– Det ble konstatert kun ett rom med røyk, og etter<br />
en stund med søk der ble det klart at årsaken til røykutviklingen<br />
var børstebrann på aggregatet. En slik brann<br />
får man ikke gjort noe med, så etter en tid avtok røykutviklingen<br />
og situasjonen var avklart, sier Svarstad.<br />
Selv om kraftstasjonen ikke var på Hydros eiendom,<br />
er industri vernet godt kjent på anlegget, forteller han:<br />
– Industrivernmannskapet har utført kjentmannsrunder<br />
i dette anlegget, og det var svært nyttig kunnskap<br />
å ha under denne hendelsen. NSO<br />
Slukket branntilløp<br />
Onsdag 5. juli begynte det å brenne utenfor en brakkerigg<br />
lokalisert ved Kårstø Prosessanlegg.<br />
– Det brant i et askebeger på svalgang på utsiden<br />
av en brakkerigg, og medførte branntilløp på ytterveggen,<br />
forteller industri vern leder Hans Tore Stensen.<br />
Innsatslag fra industri vernets 1. linjebered skap ble<br />
sendt ut og slukket branntilløpet.<br />
– Kommunalt brannvesen ankom etter rundt 15 minutter,<br />
men industri vernets innsatslag slukket brannen,<br />
sier Stensen.<br />
• NSO<br />
Da har vi i NISIK gleden av å tilby et kurs<br />
med fokus på traumebehandling. Målgrupper<br />
er de med utvidet sanitetsutdanning, eller<br />
tilsvarende oppgaver i din beredskap.<br />
For å få god samtrening ønsker vi at flere fra samme bedrift<br />
får jobbe sammen, så langt det lar seg gjøre.<br />
Målet med denne dagen, er å gi deltagerne øvelse i å behandle<br />
traumer, mest mulig opp mot reelle skader i industrien<br />
og ellers i samfunnet<br />
TRAUMENE VI SER FOR OSS ER:<br />
• Alvorlig kuttskade/amputasjon<br />
• Alvorlig brannskade<br />
• Livstruende klemskade<br />
• Fallskade (Multitraume)<br />
• (Kan legge inn andre på forespørsel)<br />
Hver post, som tar ca 50 min, ledes av instruktør med tilknytting<br />
til ambulansetjenesten, og fokus blir tilnærming til<br />
pasient, behandling, samt klargjøring for avlevering videre.<br />
Vi har med rutinerte markører, og meget flinke sminkører.<br />
Dagen starter med en rask repetisjon av undersøkelsesmetodikk.<br />
Dette for å skape trygghet hos deltagere.<br />
Antall deltagere er satt til min. 9, max 16 stk.<br />
Vi disponerer moderne lokaler, og det blir servert varmrett<br />
til lunsj.<br />
Kursprisen er satt til 6500,-/ deltager.<br />
Konseptet kan evt. tas ut i andre regioner, ved behov.<br />
Ta gjerne kontakt om det er andre ønsker- Hele landet.<br />
Besøk oss gjerne på www.nisik.no eller facebook<br />
for info og terminliste<br />
TLF. TORE 915 10 223 - FACEBOOK.COM/NISIK.NO/<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 9
digitalisering<br />
10<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong><br />
AVGJØRENDE RESSURSER: Brunvoll har hatt<br />
en digital tankegang og strategi lenge. De<br />
mener interne ressurser har vært avgjørende<br />
for å få til en god digital omlegging.
Produserer<br />
for fremtiden<br />
Med en tydelig digital strategi<br />
i bakhodet satser Brunvoll AS<br />
på intern kompetanse.<br />
tekst: Karoline K. Åbyholm<br />
foto: Andreas Winter<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. • 3 <strong>2017</strong> 11
digitalisering<br />
«For å unngå outsourcing var det klart<br />
at vi kontinuerlig måtte effektivisere<br />
vår verdikjede og da er den interne<br />
kompetansen avgjør ende.»<br />
Odd Tore Finnøy,<br />
daglig leder<br />
Man skulle kanskje tro at grunnen<br />
til at det var stille i produksjonshallen<br />
hos Brunvoll denne juli-dagen<br />
er fordi folk er på ferie. Men grunnen<br />
til man ikke hører noe bråk er at det er<br />
roboter som gjør de største og tyngste<br />
oppgavene. I noen deler av fabrikken<br />
produseres det så sømløst av roboter at<br />
det føles nesten som vi har reist frem i<br />
tid.<br />
Industrivern leder Frank Arne Solberg<br />
trekker frem et konkret eksempel<br />
på forskjell mellom robot- og menneskeutført<br />
arbeid:<br />
– Tidligere ved manuell sliping av<br />
propellbladene, kunne det være avvik<br />
på noen kilo. Men nå som robotene<br />
gjør jobben, finpusser de bladene ned til<br />
grammet, sier Solberg.<br />
«Digital rød tråd»<br />
Brunvoll er en virksomhet som satser<br />
stort på digitalisering og robotisering,<br />
og det blir lagt merke til utad. Tidligere<br />
i år ble de tildelt Smart Industri-prisen<br />
<strong>2017</strong> som én av 80 nominerte under<br />
Industri konferansen i Oslo som ble arrangert<br />
av Norsk Industri.<br />
– Vi er veldig ydmyke over at vi i det<br />
hele tatt var nominert. Det at vi vant<br />
prisen gjør oss motiverte til å gjøre en<br />
enda bedre jobb i fremtiden, sier daglig<br />
leder Odd Tore Finnøy, og legger til at<br />
den digitale tankegangen har vært hos<br />
Brunvoll lenge.<br />
– Brunvoll utarbeidet tidlig en visjon<br />
om «den digitale røde tråd» i vårt arbeide,<br />
som går ut på at vi gjenbruker digital<br />
informasjon løpende gjennom hele<br />
verdikjeden fra salg til ettermarked. For<br />
å få til dette har vi hatt en intern langsiktig<br />
kompetansebygging på digitalisering.<br />
Han mener det lange familieeierskapet<br />
gjør at virksomheten lettere<br />
kan tenke langsiktig.<br />
– Det gjør at vi kan ha lang tidshorisont<br />
når vi jobber med forbedring<br />
og rasjonalisering i stedet for kun å<br />
tenke på det neste kvartalet. Allerede<br />
i 1992 utformet Brunvoll en strategi<br />
om å produsere mest mulig i Norge og<br />
out source minst mulig. Ledelsen den<br />
gang en mente at outsourcing på sikt vil<br />
svekke virksomheten. For å unngå outsourcing<br />
var det klart at vi kontinuerlig<br />
måtte effektivisere vår verdikjede og da<br />
er den interne kompetansen avgjørende,<br />
sier Finnøy.<br />
Selv om Brunvoll har merket nedgangstidene<br />
i oljebransjen, er de ikke<br />
berørt så sterkt som mange andre. Tidligere<br />
i år kjøpte Brunvoll opp Scana<br />
Propulsion AS med datterselskapene<br />
Scana Volda AS og Scana Mar-El AS, så<br />
nå skal produksjonen kjøres tre steder.<br />
Og i fjor ble administrasjonen flyttet fra<br />
Molde sentrum til flunkende nye lokaler<br />
rett over veien fra fabrikken. Byggene er<br />
bundet sammen med en offentlig gangbro<br />
i glass over motorveien.<br />
Intern kompetanse<br />
– Vi driver med automatisering i lave<br />
volum, så motivasjonen vår har vært<br />
hvordan vi kan gjøre dette mest mulig<br />
effektivt og lønnsomt. Alle kan kjøpe<br />
teknologi, men det er den interne<br />
Brunvoll AS, Molde<br />
Produsent og leverandør av<br />
thrustersystemer, som sørger<br />
for styring, framdrift og manøvrering<br />
av avanserte skip, til<br />
alt fra fiskebåter, megayachts,<br />
offshorefartøy til store cruiseskip.<br />
Familieeid bedrift som ble<br />
grunnlagt som Brødr. Brunvoll<br />
Motorfabrikk i 1912 av<br />
brødrene Andreas og Anders<br />
Brunvoll.<br />
300 sysselsatte, 18 av disse er<br />
i industri vernet.<br />
Ble industri vernpliktig i 1948.<br />
Virksomheten har grunnleggende<br />
industri vern.<br />
Har to industri vernpliktige<br />
virksomheter i Norge; i Molde<br />
og i Volda.<br />
Selskapet er representert<br />
ved serviceagenter og salgsrepresentanter<br />
i 22 land, og<br />
i alle verdensdeler unntatt<br />
Afrika.<br />
12<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
DIGITAL VISJON: Brunvoll satser på digitalisering i sin produksjon, og<br />
utarbeidet tidlig en visjon om «den digitale røde tråd».<br />
KONTROLLPANEL: – Jeg kan styre alt roboten gjør via dette kontrollpanelet, forklarer<br />
robot-fører Tommy Gjendem (t.h.) til industrivernleder Frank Arne Solberg (t.v.) og<br />
brannvernleder Ole Huse.<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 13
digitalisering<br />
14<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
NØYAKTIGE: Robotene ved<br />
Brunvoll jobber med en ekstrem<br />
grad av nøyaktighet sammenlignet<br />
med manuelt arbeid. Men<br />
vedlikeholdet klarer de ikke selv<br />
ennå – det må menneskehender<br />
gjøre.<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 15
digitalisering<br />
GODT HUMØR: Industrivernet tok den<br />
uanmeldte oppmøte-testen med godt<br />
humør. F.v.: Knut Inge Aastad, Ole Huse,<br />
VENSTRE: Det er plassert bårer og førstehjelpsutstyr<br />
på flere steder i virksomheten<br />
slik at industrivernet enkelt kan ta det med.<br />
kompetansen som er avgjørende, sier<br />
Finnøy, og legger til at bedriften har<br />
satset på interne ressurser for å få til<br />
en god digital omlegging.<br />
– Vi er ferdige med den enkle automatiseringen<br />
og digitaliseringen som<br />
baserer seg på kjøp av standard teknologi<br />
og programvare. I det videre<br />
løpet må vi tilpasse mer selv i nært<br />
samarbeid med leverandørene for å<br />
få til den optimale løsningen. Dette<br />
krever ytterligere dybdekompetanse<br />
internt hvor vi bygger på interne digitale<br />
talenter, sier Finnøy.<br />
Lærer opp lærlinger<br />
I tillegg til teknologi og digitalisering<br />
satser bedriften stort på lærlinger. De<br />
har alltid 25-30 lærlinger på virksomheten.<br />
– Vi har god kontakt med ulike<br />
utdanningsinstitusjoner og prøver<br />
å motivere elevene til å velge et utdanningsløp<br />
som gir gode jobbmuligheter<br />
og utfordringer hos oss, sier<br />
Finnøy.<br />
Han legger til at dette også er en<br />
langsiktig strategi:<br />
– Vi retter oss inn mot elever allerede<br />
i ungdomsskolealder, og selv om<br />
vi nå har nedbemannet noe, slipper vi<br />
ikke lærlingprogrammene våre.<br />
HMS-direktør Inger Helene Hals<br />
sier at de tidligere så en overvekt av<br />
skader hos nettopp lærlingene, og at<br />
de nå jobber for å få på plass «de gode<br />
vanene».<br />
– Folk som har jobbet her lenge<br />
gjør gjerne arbeidsoppgavene sine<br />
på én måte, og da er det fort gjort for<br />
lærlingene å kopiere også de dårligere<br />
vanene. Den største fordelen til lærlingene<br />
er jo nettopp at de har friske<br />
øyne. Derfor har vi brukt mye tid på å<br />
jobbe forebyggende slik at lærlingene<br />
skal opparbeide seg gode arbeidsvaner.<br />
Dette ser vi heldigvis resultater<br />
av på statistikken, og antall ulykker<br />
med lærlinger har gått ned, sier hun.<br />
Ser på skadestatistikken<br />
– Blant andre ansatte ser vi at de<br />
vanligste skadene er det som gjerne<br />
kan kalles «dumme skader», de som<br />
«skulle bare», sier Hals.<br />
Virksomheten har gjennom risikoanalyser<br />
kommet frem til at de har<br />
størst sannsynlighet for person skader<br />
som et resultatet av kutt- og klemfare.<br />
Arbeid som gir høyest risiko er imidlertidig<br />
arbeid i høyden, transport og<br />
varme arbeid.<br />
– Når vi legger opp øvelser for<br />
industri vernet så ser vi på skadestatistikken<br />
i tillegg til risikoanalysen.<br />
Så velger vi tema på øvelsen etter det.<br />
Hun forteller at de har vært heldige<br />
som ikke har opplevd noen store<br />
hend elser de siste årene.<br />
– Sist vi hadde en større hendelse<br />
var i 2014. Da var det en ansatt som<br />
satt fast kjeledressen i en fres, ble med<br />
fresen rundt for deretter å bli kastet<br />
ned på arbeidsbordet. Det endte til<br />
slutt med en brist i hofta. Det gikk etter<br />
forholdene bra, og han var tilbake<br />
på jobb etter halvannen måned, sier<br />
Hals.<br />
16<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Jon Magnus Sandvik, Kai Lyngstad (bak),<br />
Vegard Steen, Raymond Gjeldsten, Frank<br />
Arne Solberg og Odd Einar Skarvøy.<br />
HØYRE: Når alarmen går, får alle i industrivernet<br />
beskjed på en personsøker om hvor<br />
alarmen er utløst.<br />
Ved bedriften har de gjort flere tiltak<br />
for å hindre såkalte «småskader».<br />
– Vi har innført bedre rutiner på<br />
bruk av vernebriller, slik at folk ikke<br />
skal få metallspon i øynene eller bli<br />
blendet av sveiselyset. Det er gledelig<br />
å se at tiltakene vi har innført gir effekt,<br />
og vi har færre skader enn tidligere,<br />
sier Hals.<br />
– Vi har også alltid en debrief etter<br />
hendelser. Da legger vi eventuelle<br />
forbedringspunkter inn i vår for bedrings<br />
database. I databasen kan vi senere<br />
finne aksjonspunktene og hvem<br />
som er ansvarlig for å utføre dem,<br />
skyter industri vern leder Solberg inn.<br />
Test av alarmknappen<br />
Under omvisningen i produksjonshallen<br />
er det lett å legge merke til<br />
alarmknappene som er plassert rundt<br />
på virksomheten. Når noen trykker<br />
på en slik knapp går det en alarm<br />
til personsøkerne til alle i industrivernet.<br />
På displayet får disse opp en<br />
beskjed om hvor i fabrikken alarmen<br />
har blitt utløst, så de umiddelbart vet<br />
hvor de skal møte opp.<br />
– Skal vi ta en liten test av<br />
alarmknappen og varslingssystemet,<br />
spør Hals lurt.<br />
Solberg er enig og smeller inn<br />
knappen.<br />
Allerede innen det har gått ett minutt<br />
har et halvt dusin industri vernere<br />
kommet ilende til, flere av dem med<br />
bårer og førstehjelpsutstyr.<br />
– Så bra at dere kommer raskt, men<br />
det var nok bare en øvelse til ære for<br />
<strong>Sikkerhet</strong>, sier Solberg unnskyldende.<br />
«Mini-øvelsen» blir tatt med godt<br />
humør blant industri vernet som stiller<br />
velvillig opp for fotografen.<br />
– Vi bruker alarmknappene ved<br />
personskader eller hvis folk på en eller<br />
annen måte ønsker kontakt med<br />
industri vernet, sier Solberg.<br />
Alarmknapp på kveldstid<br />
Virksomheten har produksjon hele<br />
døgnet med tre skift, men det er bare<br />
ett av skiftene som er bemannet.<br />
– Resten tar robotene seg av, sier<br />
Solberg.<br />
– Når vi kommer på jobb på morgenen,<br />
får vi unna komponentene<br />
maskineringssentrene og robotene<br />
har produsert i løpet av natten. Disse<br />
produserer også på dagtid. Før vi går<br />
legger vi klart materiell slik at maskineringssentrene<br />
og robotene får gjort<br />
jobben videre på kveld og natt, sier<br />
han.<br />
Det er likevel noe kveldsjobbing for<br />
enkelte, men produksjonen opprettholdes<br />
ikke i så stor grad som på dagtid.<br />
Virksomheten har vurdert at det<br />
ikke er nødvendig å ha et fullverdig<br />
industri vern tilgjengelig på kvelds- og<br />
nattestid.<br />
– De som jobber kveld har på seg<br />
en såkalt trygghetsalarm, omtrent slik<br />
som eldre gjerne har, forteller HMSdirektør<br />
Hals.<br />
– Hvis de trykker på knappen går<br />
alarmen direkte til vaktselskapet.<br />
Vaktselskapet har nøkler og kan låse<br />
seg inn på området vårt hvis det skjer<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 17
digitalisering<br />
VANT PRIS: Brunvoll gikk helt til topps i Norsk Industris kåring av landets smarteste<br />
industribedrift tidligere i år. Prisen ble delt ut til Brunvolls daglig leder Odd Tore Finnøy av<br />
Arbeiderpartiets leder Jonas Gahr Støre.<br />
Foto: Cathrine Westlie Eidal/Norsk Industri<br />
en hendelse, sier brann vern leder Ole<br />
Huse.<br />
– De tar også saken videre med<br />
nød etatene hvis de ser behovet for<br />
det, sier Solberg.<br />
– Hurtig inngripen avgjørende<br />
Daglig leder Finnøy er ikke i tvil om<br />
hvor viktig industri vernet er for bedriften.<br />
– Industrivernet gjør en enorm<br />
viktig innsats på den forebyggende<br />
siden. Alle hendelser har potensiale<br />
for å bli større, og da er hurtig inngripen<br />
avgjørende. Industrivernet er<br />
også med på å øke bevisstheten til alle<br />
ansatte om viktigheten av en sikker<br />
arbeidshverdag, sier han.<br />
– Jeg opplever at vi har god støtte<br />
og forankring hos ledelsen. De er ikke<br />
vonde å be dersom jeg ønsker nytt utstyr<br />
eller vil sende folk på kurs, sier<br />
Solberg.<br />
Både han og Huse deltok på et<br />
risiko vurderingskurs i fjor.<br />
– Jeg følte at jeg trengte mer input<br />
på dette området, så jeg synes det var<br />
en stor fordel at vi deltok begge to så<br />
vi har en felles forståelse av temaet.<br />
Jeg har lent meg mye på brann vernleder<br />
Huse, og vi føler vi utfyller hverandre<br />
godt, sier Solberg som har vært<br />
i stillingen som industri vern leder i<br />
halvannet år.<br />
Solberg forteller at i tillegg til støtte<br />
i virksomheten har de et godt forhold<br />
til brannvesenet.<br />
– Brannvesenet har bedt om å få bli<br />
bedre kjent med fabrikken vår. Vi har<br />
gått flere kjentmannsrunder med flere<br />
brannskift, og vi opplever at både vi<br />
og brannvesenet får noe igjen for det.<br />
Virksomheten har også brukt en<br />
del tid på å finne riktig bedriftshelsetjeneste.<br />
– Vi har funnet en aktør som passer<br />
godt for oss, så vi bruker dem mye i<br />
opplæringsarbeidet av industri vernet.<br />
Vi har hatt flere førstehjelpsøvelser,<br />
og vi har også hatt en hel dag viet til<br />
førstehjelpsopplæring, sier Solberg.<br />
•<br />
18<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
ØVDE SAMMEN: Industrivernet<br />
ved Brunvoll har et godt<br />
samarbeid med brannvesenet,<br />
og hadde en brannslukningsøvelse<br />
i samarbeid med Molde<br />
brannvesen i mai.<br />
<br />
Foto: Jonny Hals/Brunvoll<br />
Står imot angrep<br />
Stadig mer utbredt digitalisering og<br />
robotisering kan skape mange utfordringer<br />
for sikkerhetsarbeidet. HMSdirektør<br />
Inger Helene Hals forteller<br />
at Brunvoll har risikovurdert og gjort<br />
tiltak med tanke på nettopp slike<br />
hendelser.<br />
– Robotisert produksjonsutstyr<br />
er i all hovedsak segmentert ut i<br />
egne nettverk hvor tilgang direkte<br />
til inter nett er blokkert. Tilgang til<br />
robotiseringsutstyr til operasjon og<br />
monitorering samt opplasting av produksjonsgrunnlag,<br />
er beskyttet bak<br />
egen brannmur og nettverkslag. I tillegg<br />
kjører alle maskiner antivirus og<br />
løsninger som følger med på bruksmønster<br />
på de enkelte maskinene.<br />
Det vil si at unormal oppførsel blokkeres,<br />
forteller Hals.<br />
Hun legger til at det arbeides kontinuerlig<br />
med å forbedre sikkerhet og<br />
kvalitet på interne nettverkstjenester<br />
opp mot kravet til produksjon og<br />
data flyt i fabrikken.<br />
– Muligheten for hacking med<br />
de tekniske og sikkerhetsmessige<br />
løsning er vi har på plass i dag er vurdert<br />
til lav. Selskapet har en egen policy<br />
for informasjonssikkerhet hvor<br />
dette er en del av vår helhetlige sikkerhetsstrategi,<br />
sier Hals.<br />
Hacking-forsøk<br />
Virksomheten har vært utsatt for<br />
hacking-forsøk, både såkalte løsepenge-virus,<br />
også kalt «ransomware»-<br />
virus, og mer målrettede svindelforsøk.<br />
Hals mener virksomheten<br />
ikke har tapt mye på disse forsøkene.<br />
– Kostnader ved «ransomware»<br />
har begrenset seg til tap av arbeidstid<br />
i enkelte funksjoner i bedriften, altså<br />
kartlegging og tid for å hente tilbake<br />
sikkerhetskopiert data. Robotisering<br />
har ikke vært påvirket av denne typen<br />
angrep, sier hun.<br />
Hals forteller at hackerne har fanget<br />
opp epostkommunikasjon mellom<br />
bedriften og kundene. Deretter har de<br />
kunne operere som et bindeledd og<br />
endret vedlegg i epostene.<br />
– Som følge av dette betalte en av<br />
våre kunder i Asia ut et beløp til en<br />
KONTinuERLIG ARBEID: HMS-direktør<br />
Inger Helene Hals forteller at Brunvoll<br />
kontinuerlig jobber for å forbedre sikkerhet<br />
og kvalitet på interne nettverkstjenester.<br />
konto som ikke var vår, da bankinformasjon<br />
ble endret uten at kunden fikk<br />
dette bekreftet fra oss, sier hun.<br />
– Ikke avhengig av nett<br />
All produksjonsdata er lagret i egne<br />
datasenter som er designet på en slik<br />
måte at ett av datasenterene kan falle<br />
helt ut uten av dette påvirker den daglige<br />
produksjonen.<br />
– Vi er per dags dato ikke avhengig<br />
av internettilgang for produksjon.<br />
Robotiseringssentre er også i stand<br />
til å operere uten intern nett-tilgang.<br />
Opplasting og mating av data kan da<br />
enten skrives inn lokalt eller overføres<br />
med andre medier om behovet skulle<br />
oppstå, sier Hals.<br />
Informasjonssikkerhetspolicy<br />
– Har industri vernet oppgaver ved en<br />
security-hendelse?<br />
– Vi har en egen taktikk for informasjonssikkerhet,<br />
en bered skapsplan,<br />
som også sier hvilke oppgaver og<br />
ansvar de ulike har ved hendelser.<br />
Administrerende direktør er eier av<br />
policyen, chief financial officer og<br />
IKT-sjef er ansvarlig for implementering<br />
og etter leving av denne. Industrivernet<br />
har ingen spesifikk oppgave<br />
knyttet til informasjonssikkerhet,<br />
men hend elser som er IKT-relatert<br />
som påvirker øvrige sikkerhetsaspekt<br />
og industri vern ved bedriften, løper<br />
selvsagt som normalt utover dette,<br />
sier Hals. <br />
NSO<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 19
digitalisering<br />
«NSO forventer at alle industrivernpliktige<br />
virksomheter tar en<br />
ekstra runde på sine risiko vurderinger<br />
for å bidra til en enda mer effektiv og<br />
forsvarlig bered skap tilpasset både<br />
‘nye’ og ‘gamle’ hend elser»<br />
Tilpasset bered skap uansett årsak<br />
Industrivernet må også kunne<br />
håndtere konsekvenser av<br />
hendelser som er planlagt av<br />
noen som ikke vil dere vel.<br />
Når det smeller er vi som jobber med bered skap i<br />
første omgang ikke så opptatt av hvorfor det smalt.<br />
Om hendelsen skyldes materialtretthet, rutinesvikt<br />
eller et ondsinnet hackerangrep på et IKT-basert<br />
styringssystem, vil vi uansett jobbe for å sikre liv,<br />
helse, miljø og andre verdier i de første fasene etter<br />
en hendelse. Samarbeid internt, og så med nødetatene,<br />
skal sikre at konsekvensene av hendelsen reduseres<br />
best mulig.<br />
Likevel vil det ganske tidlig være interessant å forstå<br />
hva som har skjedd – og ikke minst hva som kan<br />
komme til å skje videre. Dette sikrer at vi går i innsats<br />
på en så effektiv og forsvarlig måte som mulig.<br />
Noen hendelser er oversiktlige og krever ikke langvarig<br />
innsats med behov for å «se inn i glasskula».<br />
Andre hendelser kan få konsekvenser som setter i<br />
gang nye hendelser. Det kreves kunnskap og erfaring<br />
for å sikre at innsatspersoner ikke blir utsatt for<br />
unødig fare i slike situasjoner. Dette gjelder særlig<br />
hvis hendelsen er ukjent og konsekvensene er helt<br />
uvanlige. Da blir det vanskeligere å forutsi hvordan<br />
hendelsen utvikler seg videre.<br />
Inkluder tilsiktede hendelser<br />
Hvordan forbereder vi oss på disse utfordringene?<br />
Ute på tilsyn vil NSO gjerne se oversikten over uønskede<br />
hendelser – kravet i forskriftens § 5. Denne<br />
oversikten skal brukes til å dimensjonere og organisere<br />
et tilpasset industri vern. Samtidig er denne<br />
oversikten et veldig godt utgangspunkt for å lage<br />
plan for øvelser.<br />
Nå som internkontrollens krav til å «kartlegge<br />
farer og problemer» også inkluderer «uønskede<br />
tilsiktede hendelser» må dette reflekteres i risiko<br />
20<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
kommentaren<br />
TILSIKTEDE HENDELSER: Internkontrollforskriften krever at «uønskede tilsiktede hendelser» skal være en del av virksomhetens<br />
kartlegging av mulige farer og problemer. Dette må også reflekteres i risikovurderingene og oversikten over uønskede hendelser,<br />
sier direktør i NSO.<br />
Illustrator: miniaria/Shutterstock.com<br />
vurderingene og oversikten over uønskede hendelser.<br />
Dette gjelder alt fra fysiske innbrudd, hærverk<br />
på sikkerhetskritisk utstyr til datainnbrudd i styrings-/kontrollsystemer<br />
og stjeling eller manipulering<br />
av viktig informasjon.<br />
Industrivernet må altså også kunne håndtere konsekvenser<br />
av hendelser som er planlagt av noen som<br />
ikke vil dere vel. Hva kan det bety hos dere? Det kan<br />
bety at alarm-/varslingsanlegget blir satt ut av drift<br />
slik at det blir vanskelig å få varslet både de berørte<br />
og industri vernets innsatspersoner. Noen kan ha<br />
ødelagt eller manipulert barrierer som er laget for å<br />
forhindre alvorlige konsekvenser. Bare fantasien setter<br />
grenser for denne typen hendelser. Derfor er det<br />
viktig å jobbe systematisk for å kartlegge sårbarheter<br />
og verdier samt gjøre realistiske vurderinger av trusselbildet.<br />
Ta en ekstra runde<br />
Det er selvsagt ikke sånn at all norsk industri plutselig<br />
er veldig mye mer utsatt for datainnbrudd, terror<br />
eller omfattende spionasje. Likevel er det nå et krav<br />
om at alle skal vurdere tilsiktede handlinger i det<br />
systematiske HMS-arbeidet. Det kan for eksempel<br />
bety at farlige stoffer må sikres bedre, at det bør bli<br />
bedre kontroll på trafikken inn og ut av området og<br />
at den generelle bevisstheten rundt sikring av både<br />
fysiske verdier og verdier/informasjon på nett blir<br />
bedre.<br />
NSO forventer at alle industri vernpliktige virksomheter<br />
tar en ekstra runde på sine risikovurderinger<br />
for å bidra til en enda mer effektiv og forsvarlig<br />
bered skap tilpasset både «nye»<br />
og «gamle» hendelser.<br />
Knut Oscar Gilje<br />
Direktør<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 21
digitalisering<br />
Følg reglene – unngå trøbbel<br />
En rekke råd og regler<br />
hjelper deg å ferdes<br />
trygt i det digitale landskapet.<br />
Akkurat som på fjellet, på sjøen og alle andre<br />
steder hvor vi ferdes finnes det et knippe<br />
forholdsregler det kan være greit å ta.<br />
Dette gjelder ikke minst på internett også.<br />
På nettstedet nettvett.no har myndighetene<br />
samlet råd for bruk av internett og<br />
datamaskiner, her gjengir vi noen av dem i<br />
bearbeidet versjon. Nettstedet er et samarbeid<br />
mellom NorSIS (Norsk senter for<br />
informasjonssikring), NSM (Nasjonal<br />
sikkerhetsmyndighet) og Nkom (Nasjonal<br />
kommunikasjonsmyndighet).<br />
Besøk nettvett.no for flere utfyllende<br />
veiledninger.<br />
Bruk brannmur og antivirusprogram<br />
Et antivirusprogram skanner epost og filer<br />
på datamaskinen og forsøker å identifisere,<br />
motarbeide og fjerne datavirus og likn ende<br />
ondsinnet programvare. Antivirus skal<br />
også identifisere mistenkelig oppførsel fra<br />
et hvilket som helst program, som kan bety<br />
at programmet er infisert med virus.<br />
Antivirusprogrammer er i dag ofte en<br />
del av en større programpakke som i tillegg<br />
kan inneholde brannmur, antisøppelpost<br />
og antispionprogramvare.<br />
De fleste operativsystemer har brannmur<br />
innebygd, men man må selv for sikre<br />
seg om at den er skrudd på.<br />
En brannmur (av engelsk firewall) er<br />
maskinvare og/eller programvare som beskytter<br />
datanett mot uønsket kommunikasjon.<br />
Den kontrollerer informasjon en som<br />
sendes inn og ut mellom data maskinen og<br />
internett, og tillater kun sending og mottagelse<br />
av godkjent informasjon. Den hindrer<br />
også uautoriserte tilkoblinger fra andre<br />
datamaskiner.<br />
Hold operativsystemer og<br />
programmer oppdatert<br />
Sørg for at operativsystemet, installerte<br />
programmer og apper<br />
på alle dine enheter som datamaskin,<br />
mobil og nettbrett<br />
alltid er oppdatert. Slå på<br />
automatiske oppdateringer<br />
der dette er mulig.<br />
Ikke bruk konto med administratorrettigheter<br />
på PC<br />
Den brukerkontoen som er i daglig bruk bør<br />
ikke ha administratorrettigheter. På din private<br />
PC bør du ha en admin-konto og en eller<br />
flere dagligkontoer uten admin-rettigheter.<br />
På en arbeids-PC bør ikke sluttbrukere ha<br />
admin-rettigheter. I et sentralt administrert<br />
system kan sluttbrukere få den programvaren<br />
de trenger fra et felles distribusjonspunkt.<br />
Følg rådene for sikker pålogging.<br />
Aktiver 2-trinns bekreftelse (to-faktorautentisering med passord<br />
+ sms) for alle brukerkontoer på nett der det er mulig.<br />
Lag unike passord for alle brukerkontoer.<br />
Gode passord har en lengde på minst 12 tegn, og bør helst bestå<br />
av symboler, små/store bokstaver og tall. Det bør helst ikke<br />
være et ord i ordboken, eller inkludere ord/tall som kan assosieres<br />
med deg. Passordet bør være unikt for hvert enkelt nettsted.<br />
Benytt 2-trinns verifisering der dette er mulig.<br />
Å lage et sterkt passord er en enkel jobb, men utfordringen<br />
blir å huske disse passordene. Spesielt når man ønsker et unikt<br />
passord for hver enkelt nettside. For å gjøre det enklere å huske,<br />
anbefales det å bruke fraser eller hele setninger som passord.<br />
22<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Ta sikkerhetskopi<br />
Sørg for at du tar jevnlig sikkerhetskopi av de viktigste filene<br />
dine. Husk at dette må gjøres for alle enhetene dine.<br />
Bruk gjerne en lagringsenhet som kan være tilkoblet datamaskinen<br />
eller mobilen ofte og som støtter automatisk<br />
kopiering. Dette kan gjerne være en skytjeneste.<br />
Noen skylagringstjenester oppretter en egen mappe i<br />
maskinens filsystem, og synkroniserer kontinuerlig filene<br />
der mot de i skyen. Når et løsepengevirus da krypterer filer<br />
på maskinens filsystem, inkluderer det filene i skymappen.<br />
Disse blir synkronisert, slik at filene i skyen også blir<br />
kryptert.<br />
Dette fører imidlertid ikke til at løsepengeviruset sprer<br />
seg videre på andre synkroniserte enheter.<br />
Mange skytjenester har versjonshistorikk, slik at det er<br />
mulig å rulle tilbake til tidligere versjoner av filer. Da har<br />
man i praksis en sikkerhetskopi av sky-filene, selv om det<br />
kan være tidkrevende å gjenopprette derfra.<br />
Bruk også gjerne en ekstern harddisk, som du kopierer<br />
manuelt til med jevne mellomrom og som du oppbevarer<br />
adskilt fra datamaskinene din, på et trygt sted.<br />
Setninger er mye enklere å huske enn kombinasjoner av<br />
enkelte bokstaver og tall. Dessuten er passordet like sikkert,<br />
hvis ikke mer sikkert, enn tradisjonelle passord med<br />
færre bokstaver. Men setningen må inneholde:<br />
• Minst 5 ord.<br />
• Variasjon av små og store bokstaver<br />
• Symboler og tall<br />
• Mellomrom om tjenesten tillater det<br />
Skriv gjerne passordene ned på et papir som du lagrer på<br />
et trygt sted. De passordene du bruker ofte bør du memorere.<br />
Unngå åpne<br />
nettverk<br />
Når du er på et<br />
åpent trådløst<br />
nettverk kan alle<br />
andre på det<br />
nettverket se hva<br />
du gjør.<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 23
digitalisering<br />
Ikke klikk på lenker: 1. Hold musa over lenken, da kan du kanskje se hvor den fører. 2. Hvis ikke: høyreklikk og kopier lenken. 3. Lim i et<br />
dokument, les den nøye. Vær obs på små «skrivefeil» som sparebank2.no i stedet for sparebank1.no. 4. Lim riktig adresse inn i nettleseren.<br />
Vær forsiktig med lenker og personopplysninger<br />
Før du klikker på en lenke mottatt på epost eller<br />
lignende eller på ukjente nettsteder, sjekk at den<br />
fører til riktig nettsted, se bildene over.<br />
Er du i tvil? Gå heller inn på virksomhetens<br />
nettsted og naviger deg til rett side.<br />
Vurder mottaker nøye før du sender informasjon<br />
om deg selv. Ikke send sensitiv informasjon<br />
over en ukryptert kobling, se bildet til høyre.<br />
Kryptert vs ukryptert: Sjekk at forbindelsen er kryptert når du legger<br />
inn personlig og sensitiv informasjon på nett (i nettbanken, nettbutikker og<br />
andre sider hvor du har en brukerkonto). Adressen til nettstedet skal da starte<br />
med «https» i stedet for http, og ha en grønn hengelås i adressefeltet.<br />
Bruk epost og andre kommunikasjonstjenester med omhu<br />
Dobbeltsjekk mottakeradressen når du sender epost. Kontroller<br />
at du har lagt ved riktige vedlegg. I følge Mørketallsundersøkelsen<br />
2012 var epost sendt til feil adressat en av de<br />
største årsakene til at informasjon kan ha kommet på av veie.<br />
Ikke send personlig eller sensitiv informasjon over epost<br />
ukryptert.<br />
Svært mye av svindel og virus når oss gjennom epost vi<br />
mottar. Ta deg tid til å tenke gjennom følgende:<br />
• Har jeg forventet denne eposten?<br />
• Stemmer avsenderadressen?<br />
• Ser selve meldingen troverdig ut?<br />
• Ser lenker og vedlegg trygge ut?<br />
Spiller innholdet i meldingen på følelser som tillit, frykt eller<br />
fristelser, samtidig som den prøver å få deg til å gjøre noe,<br />
så er dette kjente tegn på svindelforsøk. Ring eventuelt avsenderen<br />
for å få bekreftet eller avkreftet at eposten er legitim.<br />
Vær forsiktig med å åpne vedlegg, også fra personer du<br />
kjenner.<br />
Ikke klikk på lenker sendt deg på meldingstjenester o.l. før<br />
du har forsikret deg om at lenken er trygg. På Facebook messenger<br />
spres virus ved at hackede venner sender en melding<br />
med f.eks. «Sjekk ut denne morsomme videoen av deg» og<br />
en lenke.<br />
Ikke delta i konkurranser eller tester der du gir fra deg<br />
personlig informasjon til noen du ikke vet hvem er.<br />
Tenk over hva du deler på nett<br />
Vurder hvordan du fremstiller deg selv på ulike sosiale<br />
medier.<br />
Vær bevisst på hva slags personlig informasjon du<br />
publiserer.<br />
Forvent at alle kan se informasjonen du deler, både<br />
om jobb og privatliv. Vær kritisk og sørg for at du kan<br />
stå for det du legger ut! Publiser kun ting du ville sagt<br />
ansikt til ansikt.<br />
Ikke legg ut informasjon om venner eller kolleger<br />
uten tillatelse.<br />
24<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Stopp trakassering<br />
Opplever du at noen oppfører seg dårlig<br />
mot deg på nett? Ikke svar. Blokkér<br />
og rapporter!<br />
Hvis du blir trakassert, uthengt,<br />
ekskludert eller liknende på nett, ta<br />
vare på bevis, for eksempel ved å ta<br />
skjermbilde.<br />
Trusler og trakassering, på nett eller<br />
i annen form, er brudd på norsk<br />
lov, og bør meldes til politiet.<br />
Oppdager du at noen utsettes for<br />
mobbing, vær en venn, ta ansvar og<br />
si ifra.<br />
Unngå å falle for fristelser<br />
Vær oppmerksom dersom:<br />
• Noe virker for godt til å være<br />
sant – da er det gjerne det!<br />
• Du mottar tilbud på produkter<br />
som er tilnærmet eller helt gratis<br />
mot at du oppgir personlig<br />
informasjon.<br />
• Du mottar eposter som oppgir<br />
at du har vunnet store<br />
penge beløp eller at du har fått<br />
«tilbakeført» et pengebeløp du i<br />
utgangspunktet ikke kjenner til.<br />
Ta ansvar – vær åpen om hendelser<br />
Alle kan bli lurt. Fortell de rundt deg<br />
om trusler og farer du har opplevd.<br />
Åpenhet sprer kunnskap og trygghet,<br />
uten å spre frykt. Åpenhet gjør det<br />
mindre skamfullt å være et offer for<br />
kriminalitet på nett.<br />
Rapporter sikkerhetsbrudd, hendelser<br />
og trusler du opplever på<br />
arbeids plassen til nærmeste leder eller<br />
IT-ansvarlig.<br />
Å anmelde datakriminalitet er<br />
svært viktig for at politiet skal kunne<br />
bekjempe denne type kriminalitet. På<br />
nettvett.no kan du finne et forenklet<br />
skjema for anmeldelse av datakriminalitet.<br />
• NSO<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 25
digitalisering<br />
Ofte stilte spørsmål: Hacking<br />
Ikke alle hackere har onde<br />
hensikter. Noen vil ha det<br />
gøy, mens andre beskytter<br />
oss mot skurkene.<br />
Hva er hacking?<br />
Mange setter likhetstegn mellom<br />
hacking og datakriminalitet, men dette<br />
trenger ikke nødvendigvis å være<br />
det samme. En hacker er en person<br />
som er i stand til å løse problemer og<br />
utfordring er ved hjelp av informasjonsteknologi<br />
på svært kort tid.<br />
Dersom hackeren har onde hensikter<br />
kalles hackingen datakriminalitet.<br />
Dette er kriminalitet som er rettet mot<br />
data og datasystemer, og kriminalitet<br />
hvor datautstyr benyttes som verktøy<br />
for å begå handlingen.<br />
Hvem er hackerne?<br />
Noen hackere jobber med å utfordre<br />
datasikkerheten til bedrifter, og forsøker<br />
å finne hull i sikkerhetsnettet.<br />
Andre hackere er kriminelle, og bruker<br />
sikkerhetshull og feil til egen eller<br />
andres vinning. Derfor skiller man på<br />
hensikten til hackerne, og setter dem i<br />
kategorier basert på dette:<br />
• «Script kiddies»/småbarna: Er<br />
sjeld en motivert av annet enn<br />
spenningen og å kunne skryte etterpå.<br />
Denne gruppen bruker enkle<br />
verktøy til å søke etter sikkerhetshull<br />
og -mangler hos tilfeldige ofre.<br />
Verktøyene lager de sjelden selv,<br />
de bruker andres skript.<br />
• Hacktivistene: Ulike grupper med<br />
mål som kan relateres til sosiale,<br />
ideologiske, religiøse eller politiske<br />
forhold. I stedet for å bryte seg inn<br />
i noens IT-systemer, har «hacktivistene»<br />
ofte til hensikt å tvinge<br />
en organisasjon eller bedrift i kne<br />
ved å overbelaste datasystemene<br />
og få publisitet som følge av angrepet.<br />
• Black Hat/Cracker: Hacker med<br />
ondsinnede hensikter. Hattefargen<br />
er en referanse til western-filmer<br />
der skurkene som regel hadde<br />
svarte hatter.<br />
• White Hat: Hacker som ikke har<br />
onde hensikter (noen ganger referert<br />
til som «etisk hacker»).<br />
• Grey Hat: En hacker som er midt<br />
imellom Black Hat og White Hat.<br />
Hverken good guy eller bad guy.<br />
• Blue Hat: En hacker som arbeider<br />
for et datasikkerhetsfirma, og som<br />
tester ut systemer og programmer<br />
før lanseringen for å avdekke<br />
sårbarheter.<br />
26<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Aktivister på nett: «Anonymous» er kanskje det mest kjente hacker-aktivist-nettverket.<br />
Andre hackere arbeider for firmaer og myndigheter der de forsøker å tette sikkerhetshullene.<br />
<br />
Foto: Gorodenkoff/Shutterstock.com<br />
Hvordan merker man at man er hacket?<br />
Selv om det kan være vanskelig å oppdage at<br />
uvedkommende har tuklet med datamaskinen,<br />
er det likevel noen tegn man kan være på utkikk<br />
etter. Her er fem eksempler:<br />
• Datamaskinen jobber tregt<br />
• Datamaskinen oppfører seg merkelig<br />
• Du får ikke logget deg på<br />
• Du mottar merkelige meldinger<br />
• <strong>Sikkerhet</strong>ssystemene dine varsler deg<br />
Hvordan jobber de?<br />
Hackere kan både jobbe<br />
alene eller i større grupper/nettverk,<br />
her finnes<br />
det ingen fasit. Men hackere<br />
som er med på større<br />
hackings- og svindelforsøk<br />
jobber som regel i<br />
større grupper.<br />
Kilder: Store norske leksikon, Wikipedia, E24, NRK, Mørketallsundersøkelsen 2016<br />
Hvilke former for hacking finnes det?<br />
De mest typiske formene for datakriminalitet<br />
er datainnbrudd, dataangrep,<br />
databedrageri, informasjonsheleri<br />
og piratkopiering.<br />
• Datainnbrudd: En uberettiget<br />
inntrengning i et datasystem for<br />
å skaffe seg tilgang til beskyttet<br />
informasjon. Man kan skaffe seg<br />
uberettiget tilgang på mange forskjellige<br />
måter, for eksempel ved å<br />
misbruke passord (som kan være<br />
fremskaffet gjennom sosial manipulering)<br />
eller utnytte sikkerhetshull<br />
(som kan være skapt gjennom<br />
dataangrep). Tapte eller stjålne<br />
datamaskiner, mobiltelefoner eller<br />
minnepinner utgjør en stor risiko<br />
for datainnbrudd.<br />
• Dataangrep: En ondsinnet manipulasjon,<br />
endring eller sletting<br />
av data som kan medføre at et<br />
datalagringsmedium ikke lenger<br />
kan brukes slik eieren har bestemt.<br />
Eksempler er implantering<br />
av «trojanske hester» eller virusprogrammer<br />
som kan ødelegge<br />
data og programmer eller gjøre<br />
anlegget sårbart ved å lage sikkerhetshull.<br />
De vanligste data angrepene<br />
fra internett skjer via e-post<br />
og nettsider, minnepinner infisert<br />
med skadevare, gjerne opprinnelig<br />
fra internett, er ikke uvanlig.<br />
• Databedrageri: Bruk av uriktig eller<br />
ufullstendig opplysninger, ved<br />
endring i data eller programutrustning<br />
eller som på annen måte<br />
rettsstridig påvirker resultat et av<br />
en automatisk databehandling, og<br />
derved volder tap eller fare for tap<br />
for noen.<br />
• Informasjonsheleri: kjøp og annen<br />
befatning med informasjon<br />
som er utbytte av en straffbar<br />
handling.<br />
• Piratkopiering: Kopiering av<br />
åndsverk uten tillatelse fra opphavsrettshaveren.<br />
Lenge var kopiering<br />
av tekst den vanligste formen<br />
for piratkopiering, men i dag er<br />
kopiering av musikk, film, medisin<br />
og merkevarer mer vanlig.<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 27
digitalisering<br />
Hva koster dataangrep norsk næringsliv?<br />
Nasjonal sikkerhetsmyndighet<br />
(NSM) tallfestet i 2012 for første<br />
gang omfanget av datakriminalitet<br />
mot norsk næringsliv. NRK skrev at<br />
bedriftene tapte 20 milliarder kroner,<br />
og mange vet ikke engang at<br />
de er blitt rammet.<br />
I Mørketallsundersøkelsen 2016<br />
melder 4 av 10 virksomheter at de<br />
har hatt produktivitetstap i forbindelse<br />
med uønskede sikkerhetshendelser<br />
(i form av tapte arbeidstimer),<br />
men kun 2 av 10 oppgir at<br />
de har hatt kostnader som følge av<br />
slike hendelser.<br />
Hvor mange blir hacket?<br />
Annethvert år kartlegger Næringslivets<br />
<strong>Sikkerhet</strong>sråd omfanget av<br />
datakriminalitet i norsk næringsliv<br />
gjennom Mørketallsundersøkelsen.<br />
I undersøkelsen fra 2016 sa mer<br />
enn hver fjerde bedrift at de har blitt<br />
utsatt for en form for datakriminalitet.<br />
<strong>Sikkerhet</strong>shendelsene fører<br />
ofte til både produktivitetstap og<br />
Kan man sikre seg 100 prosent mot ondsinnet hacking?<br />
Den sikreste måten å unngå å bli<br />
utsatt for datakriminalitet, er å<br />
leve uten elektronikk – bankkort,<br />
smarttelefon, PC, nettbrett. Men i<br />
dagens samfunn er det vanskelig å<br />
gjennomføre. Så lenge man bruker<br />
utstyr med nettilgang kan man bli<br />
Hvordan vil hacking bli i fremtiden?<br />
finans ielle tap. Hele 13 prosent av<br />
de spurte bedriftene i Mørketallsundersøkelsen<br />
oppgir at de ikke vet<br />
hvor mye det kostet da bedriften<br />
ble angrepet, og kun 9 prosent tar<br />
saken videre til politiet. Rapporten<br />
slår fast at mange norske virksomheter<br />
mangler oversikt over hva sikkerhetshendelsene<br />
koster dem, eller<br />
undervurderer disse kostnadene.<br />
hacket. Forhåndsreglene man kan<br />
ta er blant annet å lage sikre passord,<br />
være oppmerksom mot suspekte<br />
linker og ikke logge inn på<br />
sider med sensitiv informasjon på<br />
åpne nettverk.<br />
Det er vanskelig å si noe om hvordan hacking i fremtiden vil bli. Det man<br />
kan anta er at hackere vil være raske med å ta i bruk nye plattformer og sosiale<br />
medier, og utnytte sikkerhetshullene som eventuelt finnes her.<br />
Beskytt bed<br />
Ved å følge ekspertenes<br />
råd kan bedriften<br />
unngå store<br />
kostnader.<br />
Norske virksomheter, spesielt små og<br />
mellomstore bedrifter, er yndede mål<br />
for cyberkriminelle som er ute etter<br />
penger. Foreningen Norsk senter for<br />
informasjonssikring (NorSIS) arbeider<br />
for økt kunnskap om og forståelse<br />
for informasjonssikkerhet. NorSIS<br />
har laget en rekke veiledere som beskriver<br />
noen av de vanligste svindelmetodene,<br />
og hva du kan gjøre for å<br />
28<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Vær oppmerksomme: Svindlere har<br />
mange triks for å lure til seg verdier fra<br />
norske virksomheter. Derfor er det viktig<br />
å være oppmerksom på hvilke metoder<br />
hackere benytter seg av.<br />
<br />
Foto: vchal/Shutterstock.com<br />
vanlige rutiner og prosedyrer.<br />
I virkeligheten er ikke e-posten eller<br />
SMS-en fra lederen, men fra en<br />
svindler som får det til å se ut som om<br />
henvendelsen er sendt fra lederen.<br />
Pengene blir overført til utlandet, og<br />
blir så sendt gjennom flere forskjellige<br />
banker i forskjellige land som gjør<br />
dem vanskelig å spore.<br />
riften mot svindel<br />
beskytte deg og din virksomhet.<br />
Epost-svindel med løsepengevirus<br />
Svindelkampanjer der det sendes ut<br />
mengder med falske eposter eller<br />
SMS-er blir stadig mer vanlig. I mange<br />
tilfeller har disse som formål å spre<br />
løsepengevirus. Dette viruset krypterer<br />
filene på offerets datamaskin,<br />
og krever løsepenger for å dekryptere<br />
dem. Dette er en stor trussel mot<br />
bedrifter, som ofte har svært mange<br />
virksomhetskritiske filer lagret i sine<br />
datasystemer.<br />
NorSIS anbefaler ingen å betale<br />
løsepengene dersom de blir rammet<br />
av løsepengevirus. Det vil bidra til<br />
å gjøre bruk av løsepengevirus enda<br />
mer lukrativt for cyberkriminelle, og<br />
den negative trenden vil dermed fortsette.<br />
I tillegg kan de kriminelle bruke<br />
pengene de tjener for eksempel til<br />
finansiering av terrorisme.<br />
Direktør-svindel<br />
Denne typen svindel innebærer for<br />
eksempel at noen som jobber i økonomiavdelingen<br />
mottar en e-post eller<br />
en SMS fra en leder i virksomheten,<br />
gjerne administrerende direktør<br />
(derav navnet direktør-svindel, og det<br />
engelske navnet CEO fraud). Lederen<br />
ber den ansatte om å overføre et<br />
større beløp, og det presiseres gjerne<br />
at det haster, noe som gir den ansatte<br />
lite tid til å tenke seg om eller følge<br />
Phishing og falske innloggingsider<br />
Phishing, ofte kalt nettfiske på norsk,<br />
er det å lure til seg sensitiv informasjon,<br />
som passord eller bankkort-informasjon,<br />
over internett.<br />
I mange tilfeller gjøres dette via<br />
nettsider som ser ut som de ekte<br />
innloggingssidene til for eksempel<br />
Facebook, nettbanken din eller e-<br />
postleverandøren din. Om man prøver<br />
å logge seg inn på disse sidene, vil<br />
brukernavn og passord havne hos de<br />
kriminelle.<br />
Falske innloggingsider kan ofte<br />
avsløres på URL-lenken, vær obs på<br />
at lenken du ser i en e-post eller i en<br />
SMS ikke nødvendigvis er den du faktisk<br />
havner på (se sak side 20). Lenker<br />
til disse falske sidene får man gjerne<br />
i en SMS eller e-post som utgir seg<br />
for å være fra en pålitelig avsender.<br />
Om den falske siden er innlogging<br />
for nettbanken din, kommer lenken<br />
for eksempel i en SMS som ser ut til<br />
å være fra banken din, der det bes om<br />
at du følger lenken, logger inn, og bekrefter<br />
litt informasjon.<br />
Med mindre det fiskes etter betalings-<br />
og bankkort informasjon, er ikke<br />
dette en form for økonomisk svindel i<br />
seg selv, men brukes ofte som et ledd<br />
i kampanjer med økonomisk svindel.<br />
Cyber kriminelle tar over brukerkontoene<br />
de stjeler passord for, og bruker<br />
dem videre i svindelforsøkene sine.<br />
Det har blant annet blitt sett eksempler<br />
på at cyber kriminelle har brukt<br />
slik tilgang til å endre på e-postfakturaer<br />
før de send es ut, slik at pengene<br />
havner hos dem.<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 29
Beskytt virksomheten<br />
Digitaliseringen gjør at virksomheter må<br />
tenke nytt om sikkerhet. Like vel er noe konstant:<br />
De ansattes kunnskap og holdninger<br />
er viktigst.<br />
De ansatte er virksom hetens beste forsvar. Årvåkne ansatte kan sees på<br />
som en del av virksomhetens «sensornettverk», ved at de er oppmerksomme<br />
på trusler og svindelforsøk, lar være å gjøre tabber og meld er fra<br />
når noe skjer.<br />
Informasjon og holdening<br />
På den måten unngår virksomheten som helhet mange trusler, og både<br />
ledelsen og de ansatte får et godt trusselbilde.<br />
Så det viktigste rådet til virksomhet ene er: Gi de ansatte informasjon<br />
om farene som lurer og hvordan de skal unngå å gå i fella. Driv<br />
holdnings skapende arbeid så alle er årvåkne.<br />
Gode rutiner er essensielt<br />
Regler og rutiner kan ofte oppleves som unødvendige og plagsomme, og<br />
det kan føles som om de legger en demper på produktiviteten. Da er det<br />
viktig med god informasjon så de ansatte forstår hvorfor akkurat disse<br />
rutinene er viktige.<br />
Om de ansatte gjør det til en vane å ta snarveier rundt etablerte regler<br />
gjør de seg selv en bjørnetjeneste, og de gjør de kriminelle en kjempetjeneste.<br />
Det blir da mye enklere for kriminelle å få gjennomslag med<br />
svindelforsøkene sine.<br />
Gode rutiner for blant annet betalinger, og hva som skal gjelde av<br />
eventuelle unntak er viktig. Når alle er klar over og innforstått med disse<br />
rutinene, skal det mye mer til for at et svindelforsøk lykkes.<br />
Riktige løsninger<br />
I tillegg kan mye gjøres med systemene for å minske risikoen for problemer.<br />
Tenk: Hva kan skje og hvordan kan vi forhindre det? Hvordan kan<br />
vi minimere risikoen for menneskelige feil og stenge svindlere ute?<br />
NSRs anbefalinger<br />
Innfør jevnlig sikkerhetskopiering.<br />
Ha rutiner for gjenopprettelse av data.<br />
Øk ansattes sikkerhetsbevissthet via kurs og opplæring.<br />
Gi økonomiarbeidere opplæring om sosial manipulering.<br />
Virksomheten bør innføre rutiner ved overføringer av større beløp,<br />
som gjør det vanskeligere for direktørsvindlere å lykkes.<br />
Ansatte må kjenne sikkerhetsrutinene og forstå hvorfor de må følges.<br />
Ha overvåkningssystemer for oppdagelse av hendelser.<br />
Sørg for at antivirussystemer og loggføring er på plass.<br />
Vær rask med å installere sikkerhets oppdateringer.<br />
Ikke tildel sluttbrukere administrator rettigheter.<br />
Blokker kjøring av ikke-autoriserte programmer.<br />
Ha rutiner for å følge opp alarm er og logger.<br />
Oppgrader program- og maskin vare.<br />
Kilde: Mørketallsundersøkelsen 2016<br />
Ekstern sikkerhetskopi: <strong>Sikkerhet</strong>skopi er<br />
det viktigste og mest effektive forsvaret mot<br />
løsepengevirus. Kopien må være ekstern eller<br />
ha versjonskontroll, slik at man enkelt kan gå<br />
tilbake dersom den nyeste filversjonen skulle<br />
bli kryptert. Det er like viktig med sikkerhetskopi<br />
av de ansattes datamaskiner som det er av<br />
virksomhetens sentrale lagringssystemer. Test<br />
løsningen, er det mulig å gjenopprette data?<br />
30<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Antivirus: Virksomhetens data må<br />
beskyttes av gode brannmurer og antivirus,<br />
både på servernivå og på den enkelte<br />
maskin.<br />
Antivirus vil ikke kunne beskytte dere<br />
mot de nyeste eller de mest sofistikerte<br />
truslene, men de fleste truslene man<br />
utsettes for er heller ikke veldig nye eller<br />
sofistikerte.<br />
Trygt eller svindel? Lær de ansatte<br />
til å lese epost kritisk, ikke klikke<br />
på lenker eller utføre handlinger uten å<br />
sjekke. Om en henvend else virker som<br />
den prøver å manipulere ved å spille på<br />
frykt, fristelser eller tillit, kan det være et<br />
forsøk på å lure mottakeren. Ring personen<br />
som skal ha sendt meldingen for<br />
å finne ut om den er ekte og trygg.<br />
Trenger håndbok i<br />
informasjonssikkerhet<br />
NorSIS og NSO anbefaler industrivernpliktige<br />
virksomheter å ha en<br />
håndbok samt overordnede retningslinjer<br />
for informasjonssikkerhet i bedriften.<br />
Håndboken kan være en egen<br />
bok eller del av virksomhetens andre<br />
rutineplanverk.<br />
– Vi anbefaler virksomheter å<br />
lage en håndbok for informasjonssikkerhet.<br />
Dette gir ledere og ansatte<br />
et styrende dokument for å ivareta<br />
informasjonssikkerheten, sier seniorrådgiver<br />
i NorSIS Vidar Sandland.<br />
Direktør i NSO, Knut Oscar Gilje,<br />
støtter Sandland.<br />
– NSO håper alle virksomheter vurderer<br />
hvordan dataangrep kan treffe<br />
dem. Tiltakene for å unngå dette går i<br />
stor grad på at hver og en av oss stopper<br />
opp og vurderer forespørsler og<br />
annen informasjon som kommer inn.<br />
Bevissthet er med andre ord et stikkord.<br />
Dette krever oppdatert kunnskap<br />
og jevnlige påminnelser.<br />
Håndboken kan gjerne deles inn i<br />
kapitler:<br />
• <strong>Sikkerhet</strong>sledelse: Hensikten er<br />
å klargjøre viktige prinsipper og<br />
tiltak alle ledere i virksomheten<br />
skal ivareta. Hvilke risikoer finnes<br />
og hva er rutinene ved en eventuell<br />
hendelse?<br />
• Personellsikkerhet: Legge til<br />
rette for at ansatte, kontraktører<br />
og tredje partsbrukere forstår sitt<br />
ansvar og er egnet for rollen de har,<br />
slik at risiko for tap, driftsforstyrrelser,<br />
svindel og misbruk reduseres<br />
til et akseptabelt nivå.<br />
• Fysisk sikring: Målet er å forhindre<br />
adgang til, skade på og forstyrrelser<br />
av lokaler, IKT-systemer<br />
og informasjon. Hvordan skal IKTutstyr<br />
håndteres ved avhending?<br />
• Behandling av informasjon: Sikre<br />
integritet, tilgjengelighet og konfidensialitet<br />
til informasjon som<br />
behandles for å løse virksomhetens<br />
oppgaver. Hvordan lagres og<br />
utveksles informasjon?<br />
• Teknisk sikkerhet: Sikre konfidensialitet,<br />
integritet og tilgjengelighet<br />
til alle driftsmessige og systemmessige<br />
IKT-leveranser for virksomheten.<br />
Se Norsk standard EN ISO/IEC<br />
27002:<strong>2017</strong> Informasjonsteknologi –<br />
Sikringsteknikker – Tiltak for informasjonssikring<br />
for mer informasjon.<br />
NSO<br />
Foto: Karoline K. Åbyholm, Cineberg, Brian A, Jackson, Macrovector (Shutterstock).<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 31
digitalisering<br />
App sender epost: Alle ansatte kan bruke appen (t.h.) til å melde om feil og mangler. Appen<br />
sender automatisk en rapport per epost til industrivernleder.<br />
Skjermdump: Outlook og app<br />
Firedoblet antall registrerte avvik<br />
Digitale løsninger kan<br />
hjelpe industrivernet.<br />
Hos Returkraft har en app<br />
styrket både forebygging<br />
og beredskap.<br />
Bruk av digitale hjelpe midler kan<br />
være til god hjelp i bered skaps- og<br />
sikker het sarbeidet. Siden<br />
2013 har ansatte ved Returkraft<br />
AS i Kristiansand benyttet<br />
seg av en spesiallaget<br />
app for å rapportere inn avvik,<br />
forbedringsforslag og<br />
nesten-hendelser.<br />
– Vi ønsket å gjøre terskelen<br />
for å rapportere inn<br />
avvik lavere. Etter at vi<br />
fikk appen gikk vi fra 40-<br />
50 in<strong>nr</strong>apporterte avvik i<br />
året til 220. Dette synes vi<br />
er kjempepositivt, forteller<br />
industri vern leder og HMS- og<br />
kvalitets leder Ketil Bergmann.<br />
Alle de ansatte på virksomheten<br />
får utdelt telefon ved ansettelse og får<br />
Ketil Bergmann<br />
industrivernleder<br />
Foto: Eivind K. Dovik<br />
opplæring i bruk av appen. Dersom<br />
de oppdager noe som bør rapporteres,<br />
kan de legge inn bilder, tekst<br />
og beskrivelse. Det blir deretter generert<br />
en epost som går til lederen<br />
den ansatte rapporterer til og kopi til<br />
industri vern leder.<br />
– Vi har som policy at alle henvendelsene<br />
skal bli fulgt opp, slik at<br />
den som rapporter inn alltid skal få<br />
vite hva som skal bli gjort,<br />
hva som eventuelt ikke blir<br />
gjort og en begrunnelse for<br />
dette, sier Bergmann.<br />
Lettere tilgjengelig<br />
Han mener den store fordelen<br />
med appen er at<br />
verktøyet er lett tilgjengelig<br />
for folk og at de ansatte kan<br />
rapportere der og da mens<br />
de husker det.<br />
– Hvis man må finne et<br />
skjema, fylle ut manuelt og<br />
levere til riktig instans er terskelen<br />
gjerne høyere enn dersom verktøyet<br />
er på telefonen. Når alt går elektronisk<br />
er det også enklere å lage statistikk.<br />
På den måten er vi sikre at vi får<br />
inn ting som folk typisk vil oppfatte<br />
som småting, men som over tid vil<br />
les es som trender på hvor det bør gjøres<br />
endringer, sier Bergmann.<br />
Flere tiltak<br />
Han forteller at avviksstatistikken<br />
foreløpig ikke har blitt brukt til å legge<br />
opp øvelser, men at virksomheten<br />
har gjort flere grep for å øke sikkerheten<br />
i etterkant av app-lanseringen.<br />
– Vi har satt opp flere fysiske tiltak,<br />
sperringer og merking av utsatte områder.<br />
I tillegg har vi fått et ekstra sett<br />
med kjemikaliedresser på et strategisk<br />
sted, fordi industri vernet meldte<br />
at det var lurt å ha ekstra dresser her.<br />
Erfaringene med avvikssystemet<br />
ved Returkraft er entydig positivt.<br />
– Ved at terskelen er lavere for å<br />
melde fra, ser vi at vi får beskjeder<br />
om såkalte småting som vi ikke fikk<br />
tidligere. Appen har en kostnad ved<br />
anskaffelse, men er billig i bruk og har<br />
lav brukerterskel, så vi ser på dette<br />
som en viktig investering, sier han.<br />
• NSO<br />
32<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
våre beste tips<br />
Illustrasjon: Rawpixel.com/Shutterstock.com<br />
Mange tap<br />
kunne vært unngått<br />
Norske virksomheter må styrke sin<br />
evne til å oppdage og håndtere sikkerhetshendelser.<br />
Styrk evnen til å<br />
detektere angrep ved å ha overvåkningssystemer<br />
for oppdagelse av hendelser<br />
(Intrusion Detection System).<br />
Sørg også for at antivirussystemer og<br />
loggføring er på plass, og ha rutiner<br />
for å følge opp alarmer og logger.<br />
Mange norske virksomheter lider<br />
økonomiske tap fra sikkerhetshendelser<br />
som kunne vært unngått ved hjelp<br />
av grunnleggende tiltak. Disse fire<br />
tiltakene mot dataangrep kan stoppe<br />
en stor del av angrepene mindre virksomheter<br />
utsettes for:<br />
• Oppgrader program- og maskinvare.<br />
• Vær rask med å installere sikkerhetsoppdateringer.<br />
• Ikke tildel sluttbrukere administratorrettigheter.<br />
• Blokker kjøring av ikke-autoriserte<br />
programmer.<br />
Arne R. Simonsen<br />
seniorrådgiver i<br />
Næringslivets <strong>Sikkerhet</strong>sråd<br />
Grunnprinsipper for<br />
IKT-sikkerhet<br />
Vi ser ofte at det mangler en rød<br />
tråd i de prioriteringene toppledelsen<br />
gjør og de sikringstiltakene som<br />
iverksettes i IKT-systemer og i organisasjonen.<br />
Forretnings- og IT-ledelse har en<br />
krevende oppgave med å omsette<br />
prioriteringer til riktige tiltak og med<br />
å kommunisere et korrekt risikobilde.<br />
Et godt råd er å benytte NSMs<br />
Grunnprinsipper for IKT-sikkerhet<br />
i arbeidet. Disse er nylig lansert og<br />
beskriver både hva man bør gjøre<br />
for å sikre et IKT-system og hvorfor<br />
dette bør gjøres. De kan derfor være<br />
til hjelp i kommunikasjonen mellom<br />
øverste ledelse og de som implementerer<br />
tiltak i virksomheten.<br />
Hvis ett av tiltakene skal fremheves<br />
er det: «3.2.1 Installer sikkerhetsoppdateringer<br />
så fort som mulig».<br />
De aller fleste cyberangrep utnytter<br />
kjente sårbarheter<br />
som oppdaterte<br />
IKT-systemer er<br />
beskyttet mot.<br />
Bente Hoff<br />
seksjonssjef<br />
Forebyggende<br />
IKT-sikkerhet,<br />
NSM<br />
Stopp – Tenk –Klikk<br />
Alt for mange norske virksomheter<br />
tenker digital sikkerhet først når de<br />
blir svindlet eller hacket. Kom kjeltringene<br />
i forkjøpet samt få bedre<br />
nettvett ved å følge disse rådene:<br />
• Hold operativsystem og programvaren<br />
oppdatert.<br />
• Benytt et oppdatert antivirusprogram.<br />
• Ta jevnlig sikkerhetskopi.<br />
• Ikke tildel sluttbrukere administratorrettigheter.<br />
• Aktiver 2-trinns bekreftelse for<br />
alle brukerkontoer på nett der det<br />
er mulig.<br />
• Lag en plan for hva som er sensitivt<br />
og hvordan det skal beskyttes.<br />
• Ha gode rutiner for avhending av<br />
gammelt datautstyr, mobiler etc.<br />
• Tenk over hva du deler på nett.<br />
• Ta ansvar: Vær åpen om hendelser.<br />
• Tenk før du klikker.<br />
• Unngå å falle for fristelser.<br />
Besøk Nettvett.no for<br />
flere gode råd.<br />
Vidar Sandland<br />
seniorrådgiver i<br />
Norsk senter for<br />
informasjonssikkerhet<br />
(NorSIS)<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 33
digitalisering<br />
Nasjonal sikkerhetsmåned i oktober<br />
Norsk senter for informasjonssikring<br />
(NorSIS) oppfordrer virksomheter til<br />
å være med på et nasjonalt løft for en<br />
trygg digital hverdag. I oktober er det<br />
«Nasjonal sikkerhetsmåned», en årlig<br />
kampanje for økt kunnskap om informasjonssikkerhet.<br />
NorSIS oppfordrer alle virksomheter<br />
til å gjennomføre opplæring<br />
av de ansatte i oktober, og beskriver<br />
kampanjen slik:<br />
«Nasjonal sikkerhetsmåned er en<br />
nasjonal dugnad og arena som samler<br />
næringsliv, det offentlige og akademia<br />
om et felles mål for en tryggere og<br />
sikrere digital hverdag for alle. Samfunnet<br />
nasjonalt og internasjonalt<br />
digital iseres, noe som gir økt verdiskapning<br />
og effektivisering.<br />
Digitaliseringen medfører nye<br />
bransjer, nye vaner, omstilling av<br />
kjente samfunnsfunksjoner, og et mer<br />
komplisert trusselbilde å forholde<br />
seg til. Vi blir alle berørt, både som<br />
privat personer og i jobb.<br />
Nasjonal <strong>Sikkerhet</strong>småned er et<br />
viktig bidrag for å øke bevisstheten<br />
rundt informasjonssikkerhet og forebygge<br />
datakriminalitet. Kunnskap er<br />
ferskvare – og derfor er sikkerhetsmåneden<br />
like aktuell i år.»<br />
Målgruppen for kampanjen er alle<br />
typer virksomheter i Norge som vil<br />
lære mer om hvordan de kan forebygge<br />
og møte dagens trusselbilde med<br />
riktige tiltak.<br />
Kampanjen blir markert med arrangementer<br />
og møter i Oslo, Bergen,<br />
Gjøvik og Lillehammer, og Nasjonal<br />
sikkerhetsdag blir markert i Lillesand<br />
tirsdag 10. oktober.<br />
Du kan lese mer om Nasjonal sikkerhetsmåned<br />
på sikkert.no NSO<br />
34<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Noen av mange: Hackerangrepene øker både i omfang og styrke. Motivene er høyst forskjellige og konsekvensene kan være store. <br />
<br />
Faksimiler: Aftenposten, Reuters, The Guardian, BBC, The New York Times<br />
Store og kostbare angrep<br />
Koster verden 3,8 billioner<br />
kroner årlig.<br />
tekst: Karoline K. Åbyholm<br />
I mai ble verden nok en gang rammet<br />
av et omfattende dataangrep. Det<br />
såkalte WannaCry-angrepet infiserte<br />
over 230.000 datamaskiner i over 150<br />
land, deriblant hotellkjeden Nordic<br />
Choice Hotels og flere eliteserieklubber<br />
i Norge. Angriperne skal ha låst<br />
PC-er og bedt brukerne om løsepenger<br />
for å frigi tilgang til datamaskinen<br />
og filene igjen.<br />
Alvorlige angrep<br />
Ifølge tall fra Nasjonal sikkerhetsmyndighet<br />
(NSM) skal norske myndigheter<br />
ha avslørt mer enn 22.000<br />
dataangrep mot norske bedrifter og<br />
offentlige etater i 2016. Det er en økning<br />
på 10 prosent fra året før. Til<br />
sammenligning hevder Försvarets<br />
Radioanstalt i Sverige at tallet mot<br />
svenske bedrifter og etater er over<br />
100.000 angrep i 2016.<br />
NSM forteller til NRK at 5.000 av<br />
angrepene i fjor skal ha vært så alvorlige<br />
at de ble fulgt opp manuelt med<br />
analyse og rettende tiltak. Økningen<br />
her er på 15 prosent på ett år.<br />
Kostbare angrep<br />
Det er store utgifter knyttet til dataangrep,<br />
og ifølge E24, som siterer en<br />
rapport fra Center for Strategic and<br />
International Studies, skal dataangrep<br />
koste verden drøyt 3.800 milliarder<br />
kroner årlig.<br />
Angrepene øker både i styrke og<br />
omfang, og FBIs tidligere datakrimdirektør<br />
Jim Trainor anslår til E24<br />
at dataangrep vil kunne koste hele<br />
17.000 milliarder kroner om tre år.<br />
Produktivitetstap<br />
NSM gjorde i 2012, på bakgrunn av<br />
en engelsk undersøkelse, et grovt estimat<br />
som anslo kostnadene knyttet<br />
til internettkriminalitet i Norge. NRK<br />
skrev at dette estimatet viser at norsk<br />
næringsliv tapte 20 milliarder kroner,<br />
og mange bedrifter vet ikke engang at<br />
de er blitt rammet.<br />
I Mørketallsundersøkelsen 2016<br />
melder 4 av 10 virksomheter at de har<br />
hatt produktivitetstap i forbindelse<br />
med uønskede sikkerhetshendelser (i<br />
form av tapte arbeidstimer), men kun<br />
2 av 10 oppgir at de har hatt kostnader<br />
som følge av slike hendelser.<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 35
digitalisering<br />
Noen av de verste dataangrepene<br />
Dataangrep rammer selskaper og land over<br />
hele verden. Dette er noen av de største dataangrepene<br />
de siste årene:<br />
Mål: Demokratpartiet i USA<br />
Hva: Under innspurten av valgkampen i USA høsten 2016, ba hackere –<br />
forkledd som en tjenestetilbyder på internett – medarbeidere i Hillary Clinton-kampanjen<br />
om å skifte passord. Hackerne får tilgang på 60.000 eposter<br />
som ble publisert midt i valgkampen. Anonyme etterretningskilder mente<br />
Russlands president Vladimir Putin var direkte involvert.<br />
Konsekvenser: Det ble spekulert i om Russland gjennomførte angrepet<br />
som en del av en vendetta mot Clinton, etter at hun stilte spørsmål ved<br />
gjennomføringen av valget i Russland i 2011. CIA skal ha konkludert i en<br />
rapport at Russland forstyrret valget i USA og at målet var å hjelpe Trump<br />
til seier.<br />
Mål: Advokatfirmaet Mossack Fonseca<br />
Hva: 3. april 2016 var det en lekkasje av dokumenter fra advokatfirmaet<br />
Mossack Fonseca, kalt «Panama Papers». Omtrent 11,5 millioner dokumenter<br />
viste angivelig at advokatfirmaet hadde bistått et stort antall rike<br />
og kjente personer verden over i plassering av penger og eierskap i såkalte<br />
skatteparadiser. Dokumentene navngir over 500 banker, 214.000 virksomheter<br />
og flere statsoverhoder, politikere og milliardærer, inkludert rundt 200<br />
norske kunder. Blant annet skal DNB ha lagt til rette for bankkunder som<br />
ønsket å plassere penger i Seychellene med mulighet for å skjule dem for<br />
norske myndigheter og dermed unngå å betale skatt.<br />
Det har ikke blitt gjort kjent hvordan dokumentene har blitt skaffet til<br />
veie, men Mossack Fonseca har omtalt det som et datainnbrudd.<br />
Konsekvenser: Islands daværende statsminister Sigmundur Davíð Gunnlaugsson<br />
og to av hans regjeringsmedlemmer investerte i selskaper i skatteparadiser,<br />
samtidig som statsministeren tordnet mot grådige utenlandske<br />
selskaper under finanskrisen i landet. Gunnlaugsson gikk av som statsminister<br />
i april 2016 som følge av avsløringene.<br />
Over hundre mediehus i hele verden samarbeidet om å strukturere dataene<br />
og etterforske stater, personer og selskap offentliggjort i de lekkede<br />
dokumentene. Flere av sakene førte til politietter forskning, arrestasjoner og<br />
fengselsdommer.<br />
Mål: Emmanuel Macrons politiske bevegelse En Marche!<br />
Hva: Natt til lørdag 6. mai <strong>2017</strong> – to dager før det franske president valget<br />
– ble sentrumskandidaten Emmanuel Macrons politiske bevegelse En Marche!<br />
rammet av et dataangrep. Ifølge WikiLeaks ble flere titusener av eposter,<br />
foto og vedlegg datert fram til 24. april publisert, i alt 9 gigabytes med<br />
informasjon. Ifølge En Marche! ble deres interne dokumenter blandet med<br />
falske dokumenter for å spre feilinformasjon og tvil.<br />
Konsekvenser: Macrons rådgivere sa at noe lignende aldri før hadde<br />
skjedd før et fransk valg og at hensikten er å skade demokratiet, slik det var<br />
under valget i USA. Macron endte med å vinne presidentvalget over den<br />
konservative motstanderen Marine Le Pen.<br />
Mål: Sony Pictures<br />
Hva: Filmstudioet Sony opplevde<br />
24. november 2014 at hackere lekket<br />
blant annet konfidensiell informasjon<br />
om Sonys ansatte, epost-korrespondanse<br />
mellom de ansatte og kopier av<br />
upubliserte spillefilmer fra selskapet.<br />
Hackergruppen kalte seg «Guardians<br />
of Peace» (GOP). Amerikanske myndigheter<br />
hevdet at Nord-Korea sto bak<br />
angrepet, noe myndighetene i landet<br />
nektet.<br />
Konsekvenser: GOP krevde at Sony<br />
skulle la være å lansere komedien «The<br />
interview», som handler om en talkshowvert<br />
som hyres av CIA for å drepe<br />
Nord-Koreas leder. Hack er-gruppen<br />
truet med terroristangrep mot kinoene<br />
som viste filmen, noe som førte til<br />
at flere kinoer nektet å vise filmen. Sony<br />
lanserte filmen for online-leie og kjøp<br />
24. desember, og filmen hadde kinopremiere<br />
på kun utvalgte kinoer i USA.<br />
Mål: Bank of Bangladesh<br />
Hva: I februar 2016 skjedde det et angrep<br />
på sentralbanken i Bangladesh. Det<br />
ble forsøkt overført 951 millioner dollar<br />
til fiktive bankkontoer. Mistanken rettet<br />
seg blant annet mot åtte tjenestemenn<br />
som skal ha jobbet med utenlandsoverføringer<br />
for banken. Flere av disse<br />
skal nemlig ha fått kjennskap til en svikt<br />
i datasystemet dagen etter innbruddet,<br />
uten å rapportere det videre, ifølge<br />
en ikke-navngitt kilde til nyhetsbyrået<br />
Bloomberg.<br />
Security-folk har senere linket angrepet<br />
til en serie med elleve andre lignende<br />
angrep, og kaller gruppen «Lazarus».<br />
Det antas også at denne gruppen var<br />
ansvarlig for Sony-hackingen i 2014.<br />
Konsekvenser: Hackerne klarte å gjennomføre<br />
transaksjoner på tilsammen<br />
101 millioner dollar, hvorav 38 millioner<br />
dollar ble tilbakebetalt.<br />
Banken skal, ifølge finansminister<br />
Abul Maal A. Muhith, ikke ha informert<br />
regjeringen, og høstet kritikk for dette.<br />
Ministeren kalte blant annet sin egen<br />
sentralbank for «inkompetent».<br />
36<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong><br />
Kilder: E24, Wikipedia, CNN, BBC, Bloomberg, New York Times, Aftenposten, VG, SVT.se, Business.dk
Mål: Windows-maskiner<br />
Hva: Viruset WannaCry er verdens hittil største<br />
dataangrep mot private og offentlige data maskiner.<br />
WannaCry er et såkalt løsepengevirus, som låser<br />
eller krypterer hele eller deler av innholdet på<br />
data maskinen. Det spres for eksempel via vedlegg<br />
i epost, Word-filer eller via infiserte nettsider. Målet<br />
med viruset var å få brukeren til å betale løsepenger<br />
til angriperen. Hackerne skal ha krevd 300 dollar (tilsvarende<br />
2.600 kroner) for å låse opp datasystemer<br />
de har tatt kontroll over.<br />
Konsekvenser: Over 230.000 Windows-maskiner<br />
i over 150 land ble infisert. Blant de verst rammede<br />
var helsevesenet i England og Skottland, skriver<br />
BBC. Tre norske virksomheter meldte til NSM at de<br />
ble rammet, deriblant hotellkjeden Choice.<br />
Mål: Teknologiselskapet Yahoo! Inc<br />
Hva: I 2013 kom brukerinformasjon til over en<br />
milliard Yahoo!-brukere på avveie. Den stjålne informasjon<br />
fra de berørte kontoene er antatt å inneholde<br />
navn, epostadresser, telefonnumre, bursdags<br />
datoer, samt sikkerhetsspørsmålet og svar.<br />
Selskapet ble også hacket året etter, og da kom<br />
brukerinformasjonen til 500 millioner brukere på<br />
avveie.<br />
Konsekvenser: Angrepet ble omtalt som ett<br />
av de største datainnbruddene noensinne. Alle<br />
Yahoo!-brukerne måtte bytte passord.<br />
Selskapet fikk kritikk for å ikke ha tatt securitytrusler<br />
på alvor tidligere, og kritikere mente at selskapet<br />
ikke holdt samme sikkerhetsnivå som andre<br />
store internasjonale selskap.<br />
Mål: Strømselskaper i Ukraina<br />
Hva: Angrepet rammet minst to forskjellige<br />
strømselskaper i det vestlige Ukraina samtidig i desember<br />
2015. Mye tyder på at de russiske hackere i<br />
den beryktede gruppen Sandworm var ansvarlig<br />
for angrepet. Hackerne skal først ha gjort innbrudd<br />
i systemene som styrer strøm produk sjonen, for deretter<br />
å «blinde» styringssystemet slik at selskapene<br />
ikke kunne styre strømnettet. Serverne og datamaskinene<br />
til strømselskapene ble skadet slik at de ikke<br />
kunne gjenopprette nettet og løse feilen. Kundetelefonsentralene<br />
til strømselskapene ble angrepet<br />
og slått ut. Det skjedde ved at sentral bordene ble<br />
nedringt av flere tusen falske telefonsamtaler, slik<br />
at de ekte kundene ikke klarte å varsle om hva som<br />
skjedde.<br />
Konsekvenser: Minst 30 transformatorstasjoner<br />
ble slått ut, og over 80.000 husstander, bedrifter og<br />
ulike virksomheter ble rammet.<br />
Kan ha tapt milliarder<br />
IT-systemene til danske Maersk var nede i<br />
flere uker.<br />
Det danske rederiet A.P. Møller-Maersk bekreftet tirsdag 27. juni<br />
i år at de ble rammet av et hackerangrep. Rederiet og store selskaper<br />
som den russiske oljeprodusenten Rosneft og et av verdens<br />
største reklamebyråer, engelske WPP, ble rammet samtidig.<br />
Virus på IT-systemet<br />
Et virus kalt Petya spredte seg på Maersk sitt IT-system, hvilket<br />
medførte at de ikke kunne ta imot nye ordre. Konsernets havneterminaler<br />
kunne heller ikke flytte last fra eksisterende ordre<br />
over på skip, meldte danske medier. Selskapet hadde derfor ingen<br />
oversikt over hvor de ulike containerne var i verden.<br />
Styringssystemene til skipene ble ikke berørt og containerfraktskipene<br />
kunne kommunisere. En talsmann i Maersk opplyste<br />
til Business.dk at ingen ansatte i selskapet var skadet og at<br />
mannskapene var trygge.<br />
En milliard om dagen<br />
Angrepet gjorde at selskapet ble tvunget til å lukke flere havner<br />
og begrense kundenes mulighet til å booke plass på Maersk Lines<br />
skip. Ifølge business.dk mottar rederiet normalt 3.300 bookinger<br />
på containere, tilsvarende en omsetning på rundt 40 millioner<br />
danske kroner i timen, eller en milliard danske kroner om dagen.<br />
Maersk valgte å holde IT-systemene nede til de fikk mer oversikt<br />
over situasjonen. I midten av juli ble det meldt at IT-systemene<br />
var nære ved å være tilbake til normalen.<br />
Har gjort tiltak<br />
Omlag en måned senere kom det frem av Maersk sitt halvårsregnskap<br />
at de regnet med at de samlede utgiftene i forbindelse<br />
med angrepet kunne løpe opp i nesten 2 milliarder DKK.<br />
– I siste uke i forrige kvartal ble vi rammet av et hackerangrep.<br />
Volumer ble negativt påvirket i et par uker i juli, og som konsekvens<br />
vil Q3-resultatet bli påvirket. Vi forventer at cyberangrepet<br />
vil påvirke resultatet negativt med 200-300 millioner USD, sier<br />
Maersk-toppsjef Søren Skou i en kommentar til regnskapet.<br />
Ifølge business.dk opplyste selskapet samtidig at det har høynet<br />
sin IT-sikkerhet og implementert ytterligere tiltak som skal<br />
forhindre lignende angrep i fremtiden.<br />
– Tenk på konsekvensene<br />
– Selv om verdiene Maersk håndterer er større enn den gjennomsnittlige<br />
industri vern-virksomhet, er det mye å lære av denne<br />
hendelsen, sier direktør i NSO, Knut Oscar Gilje, som også<br />
roser Maersk for deres åpenhet om denne saken.<br />
Han oppfordrer virksomheter til å tenke gjennom hvor<br />
lenge de kan være uten tilgang til internett og fortsatt holde<br />
produksjon en i gang og for å få inn og ut ordre.<br />
– En del virksomheter vil kanskje mene de kan klare seg lenge<br />
uten nettforbindelse. Likevel vil det både være nyttig og nødvendig<br />
å tenke gjennom mulige konsekvenser av dette på forhånd,<br />
og tilpasse egenbered skapen og tiltak etter dette, mener han.<br />
• NSO<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 37
digitalisering<br />
Følger du med<br />
i timen?<br />
Norge er verdens mest digitaliserte<br />
land, men vi mangler spiss <br />
kompetanse.<br />
UNDERVURDERER KOSTNADENE: Virksomheter mangler oversikt over hva sikkerhetshendelsene koster dem, eller undervurderer disse<br />
kostnadene, mener direktør i Næringslivets <strong>Sikkerhet</strong>sråd. <br />
Foto: lolloj/Shutterstock.com<br />
Mange virksomheter har erfart at når<br />
den digitale trusselen slår til, kan den<br />
ramme hardt. I NSRs Mørketallsundersøkelse<br />
2016 fremkommer det<br />
at over en fjerdedel av norske virksomheter<br />
har opplevd uønskede sikkerhetshendelser<br />
det siste året.<br />
Undervurderer kostnadene<br />
Virksomhetene forteller at dette fører<br />
til produktivitetstap i 4 av 10 tilfeller (i<br />
form av tapte arbeidstimer), men kun<br />
2 av 10 oppgir at de har hatt kostnader<br />
som følge av slike hendelser. Dette<br />
viser at virksomhetene mangler oversikt<br />
over hva sikkerhetshendelsene<br />
koster dem, eller undervurderer disse<br />
kostnadene. Mange virksomheter ser<br />
på sikkerhet som en kostnad, men det<br />
kan like gjerne være en investering.<br />
NSM uttrykte under sin konferanse<br />
tidligere i år, bekymring for at små<br />
virksomheter ofte er mål for store angripere.<br />
De bruker de små virksomhetene<br />
som «brohoder» inn mot større<br />
virksomheter. De små virksomhetene<br />
er sårbare og vil sannsynligvis ikke<br />
kunne stå imot angrepene.<br />
Økonomisk svindel<br />
Mange virksomheter har en lav<br />
oppdagelsesevne av digitale sikkerhetshendelser.<br />
Det er også ofte en<br />
manglende forståelse for hvilke konsekvenser<br />
en slik hendelse kan få. En<br />
ting er de direkte konsekvensene av<br />
at systemer blir slått ut, men kanskje<br />
like alvorlig er tapene av informasjon<br />
som ikke blir avdekket og unyttet av<br />
konkurrenter. I tillegg registrerer vi<br />
en økende trend til økonomisk svindel<br />
ved hjelp av digitale kanaler.<br />
Det er viktig at virksomhetene tilbyr<br />
de ansatte en grunnopplæring i<br />
IT-sikkerhet. Én av ti virksomheter<br />
rapporterte om uønskede sikkerhetshendelser<br />
som følge av virksomhetens<br />
ansatte. Vi kan derfor ikke utelukkende<br />
satse på at systemene passer<br />
på seg selv.<br />
Den digitale utviklingen går fort og<br />
risikobildet endres seg raskt, så følg<br />
med i timen!<br />
Jack Fischer<br />
Eriksen<br />
Direktør i<br />
Nærings livets<br />
<strong>Sikkerhet</strong>sråd<br />
38<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Valgte åpenhet etter dataangrep<br />
I minst én uke hadde<br />
uvedkommende adgang<br />
til Ulstein Group sine<br />
datafiler.<br />
tekst: Karoline K. Åbyholm<br />
Få dager før påskeferien 2014 oppdaget<br />
en IT-ansatt hos Ulstein Group<br />
noe uventet: En Microsoft Exchange<br />
Server var i ferd med å fylles av filer for<br />
andre gang på kort tid. Den<br />
første gangen det skjedde<br />
ryddet IT-avdelingen på<br />
serveren, men nå begynte<br />
trafikken å bli mistenkelig.<br />
På serveren oppdaget de at<br />
det var lagret krypterte filarkiv<br />
med ukjent innhold,<br />
og filene var på vei ut av<br />
virksomheten. De slo alarm<br />
og stengte alle systemer.<br />
Ansatte fikk beskjed om<br />
at det var IT-problemer,<br />
konsulenter ble hentet inn og Nasjonal<br />
sikkerhetsmyndighet (NSM) bisto<br />
i granskningen av det som skulle<br />
vise seg å være en alvorlig sikkerhetshendelse.<br />
Den første uken kunne de<br />
ikke fortelle de ansatte noe, for det var<br />
fortsatt uavklart om angriperen var<br />
en utro tjener eller en ekstern trusselaktør.<br />
Kunne ikke bruke epost<br />
Før angrepets omfang var kjent kunne<br />
de heller ikke bruke noen av virksomhetens<br />
potensielt kompromitterte<br />
systemer, inkludert epost. De som var<br />
Torild Bugge<br />
Foto: Ulstein Group<br />
involvert i hendelseshåndteringen<br />
holdt kontakten på SMS til de følte<br />
seg sikre på at inntrengeren var kastet<br />
ut av systemet.<br />
NSM klarte å dekryptere en komprimert<br />
fil som ikke var blitt sendt ut.<br />
Den inneholdt filer relatert til virksomhetens<br />
innovasjonsprosjekter.<br />
I minst én uke hadde uvedkommende<br />
adgang til konsernets datafiler.<br />
HR-direktør og sikkerhetsansvarlig<br />
i Ulstein Group, Torild Bugge, uttalte<br />
den gang følgende til<br />
Aften posten:<br />
– Vi ble utsatt for et avansert,<br />
målrettet angrep<br />
utført av aktører med store<br />
ressurser.<br />
Anmeldte hendelsen<br />
Rundt 500 gigabyte ble<br />
stjålet, og bedriftshemmeligheter<br />
kan ha kommet<br />
på avveie. Etterforskningen<br />
avdekket kinesiske tegn, og<br />
NSM konkluderte med at datakraften<br />
som ble brukt og angrepets kompleksitet<br />
tydet på at dette var et rettet angrep<br />
fra en avansert trusselaktør.<br />
Etter råd fra Politiets sikkerhetstjeneste<br />
(PST), som ble involvert da<br />
det oppsto mistanke om angrep fra<br />
en annen stat, valgte Ulstein å anmelde<br />
hendelsen og kontakte media.<br />
Anmeldelsen ble henlagt etter et år,<br />
men Ulstein mottok ros for sin åpenhet<br />
om angrepet og er glade for at de<br />
valgte å stå fram.<br />
– Vi hadde interne diskusjoner på<br />
om vi skulle si noe i media, men vi<br />
bestemte oss til slutt for å være åpne<br />
om dette. Det har vi mottatt bare positive<br />
tilbakemeldinger på i ettertid,<br />
sier Bugge til <strong>Sikkerhet</strong>.<br />
– Bedre rustet<br />
Over tre år etter hendelsen forteller<br />
HR-direktør og ansvarlig for informasjonssikkerhet<br />
Bugge at virksomheten<br />
har endret tankemåte og tatt<br />
flere grep.<br />
– Vi har mye større bevissthet på<br />
informasjonssikkerhet og på en annen<br />
måte enn tidligere. Det har blitt<br />
tatt verdivurderinger på hva av informasjonen<br />
vår som vi må sikre spesifikt,<br />
sier hun.<br />
Hun sier at virksomheten har valgt<br />
å gjøre de ansatte mer bevisste på sikkerhetsgraderinger<br />
på blant annet dokumenter.<br />
– Vi har mistet litt illusjonen om<br />
at vi kan sikre informasjonen vår<br />
kun gjennom brannmurer, og vi har<br />
investert i programmer og systemer<br />
som tilbyr gode sikkerhetssystemer.<br />
Der har de ansatte mulighet til å legge<br />
inn sikkerhetsgraderinger på dokumenter.<br />
– Er dere redde for at noe lignende<br />
skal skje igjen?<br />
– Vi er ikke blitt helt paranoide,<br />
men vi er realistiske. Nå håndterer vi<br />
informasjonssikkerhet på en annen<br />
måte enn tidligere, og vi står bedre<br />
rustet til å håndtere en lignende hendelse.<br />
Vi har vært åpne både internt og<br />
eksternt. Dette har gjort at vi har møtt<br />
stor forståelse blant de ansatte og andre<br />
rundt, sier hun. <br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 39
digitalisering<br />
– Dataangrep kan ramme alle<br />
Klar melding fra Kripos:<br />
Ingen er hundre<br />
prosent beskyttet<br />
mot data angrep.<br />
tekst: Karoline K. Åbyholm<br />
Seksjonsleder for seksjon for<br />
datakrimetter forskning i Kripos, Håvard<br />
Andre Aalmo, oppfordrer virksomheter<br />
til å melde fra om dataangrep.<br />
– Mange virksomheter vil ikke anmelde<br />
dataangrep fordi de er redde for<br />
at det kan påvirke omdømmet deres.<br />
I tillegg er det dessverre slik at mange<br />
opplever at politiet ofte henlegger saker.<br />
Men flere dataangrep-saker har<br />
gitt domfellelse, så det er ikke håpløst.<br />
For at politiet skal kunne gjøre en<br />
bedre jobb med å bekjempe dataangrep<br />
er vi avhengig av at virksomhetene<br />
anmelder, sier Aalmo.<br />
Han er samtidig tydelig på at politiet<br />
trenger mer kunnskap om dette<br />
temaet.<br />
– Både kompetanse og kapasitet for<br />
å håndtere dataangrep må bli bedre<br />
ute i politidistriktene. For å få til dette<br />
er vi avhengig av å bli mer kjent med<br />
tilfellene som finnes. Da kan vi også<br />
si noe om tendenser og generelt omfang.<br />
Må sikre digitale spor<br />
– Seksjon for datakrimetter forskning<br />
sin rolle er å bidra til å forebygge,<br />
etter forske, drive folkeopplysning og<br />
iverksette tiltak som kan forhindre<br />
dataangrep. Det er bare unntaksvis at<br />
vi rykker ut, men vi bistår lokalt dersom<br />
det foreligger en anmeldelse og<br />
det er behov for det, sier Aalmo.<br />
I tilfellene hvor Kripos rykker ut<br />
hjelper de virksomheter og privatpersoner<br />
å finne ut hva som har<br />
skjedd.<br />
– Jobben vår går ut på å sikre bevismateriale<br />
og sjekke om man kan få<br />
informasjon og data ut fra for eksempel<br />
harddisker eller andre lagringsmedier.<br />
Ofte går jobben vår ut på å<br />
finne ut om det har skjedd noe, hva<br />
som har skjedd og om man kan finne<br />
gjerningspersonene, sier han.<br />
Aalmo sier at Kripos ser at sporsikring<br />
er avgjørende i den innledende<br />
delen av en etter forskning, og det<br />
betyr derfor mye at de ansatte i virksomheten<br />
har kjennskap til hvordan<br />
man kan sikre logger og annet relevant<br />
bevismateriale før en anmeldelse<br />
er inngitt.<br />
– Når det er gjort innbrudd på en<br />
pengesafe er det tydelig hvor startstedet<br />
er og hva som er stjålet. Men<br />
med data er ikke dette like tydelig.<br />
Kunnskap om hvordan man sikrer<br />
digitale spor og hvor man skal lete er<br />
viktig for å oppklare slike saker, sier<br />
han.<br />
– Alle er utsatt<br />
Fordi bakgrunnen for dataangrep kan<br />
være alt fra ren vandalisme til datatyveri<br />
til politisk motivert aktivisme,<br />
40<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Dette sier loven<br />
Dette er straffebestemmelsene<br />
som blant annet er brukt innenfor<br />
fagområdet datakriminalitet:<br />
• Uberettiget befatning med<br />
tilgangsdata, dataprogram<br />
(skadelig programvare) – Straffeloven<br />
§ 201<br />
• Identitetskrenkelse (besittelse<br />
av annens identitetsbevis eller<br />
opptrådt med annens identitet)<br />
– Strl. § 202<br />
• Datainnbrudd – Strl. §§<br />
204,205 bokstav b<br />
• Dataskadeverk (omfatter også<br />
DDOS/tjenestenektangrep)<br />
– Strl. §§351, 352 første og<br />
andre ledd<br />
• Driftshindring – Strl. § 206<br />
• Databedrageri – Strl. 371, 372<br />
• Heleri – Strl. §§ 332, 333, 338<br />
• Også i kombinasjon med andre<br />
bestemmelser – som for eksempel<br />
Utroskap – Strl. § 390/391<br />
Anmeld alt alltid: Seksjonsleder Håvard Andre Aalmo i Kripos anbefaler alle som har<br />
vært utsatt for dataangrep og misbruk av data om å anmelde forholdet til politiet<br />
<br />
Foto: Lagarto Film/Shutterstock.com<br />
mener Aalmo alle virksomheter i<br />
Norge kan rammes.<br />
– Så lenge noen har grunn til å angripe<br />
deg er du utsatt. I tillegg har du<br />
de ikke-målrettede angrepene, for eksempel<br />
epostsvindel eller løsepengevirus<br />
hvor hackerne får kontroll over<br />
filene dine. Dette er angrep som kan<br />
ramme de fleste.<br />
– Hvor mange virksomheter i Norge<br />
blir hvert år rammet av dataangrep?<br />
– Mørketallene er store når det gjelder<br />
datakriminalitet, og det er derfor<br />
vanskelig å gi noen god statistikk over<br />
omfanget. Det er derfor viktig at sakene<br />
anmeldes til politiet. En del av<br />
utfordringen er at dagens kodeverk<br />
i politiet medfører at det ikke er entydig<br />
å se om en straffesak omfatter<br />
datakriminalitet eller ikke. Det jobbes<br />
nå med å få bedre statistikkverktøy på<br />
plass slik at man lettere kan hente ut<br />
slike tall i framtiden, sier Aalmo.<br />
Håvard AndrE<br />
Aalmo<br />
Sikre egen informasjon<br />
– Hva forventer KRIPOS at virksomhetene<br />
skal ha på plass for å<br />
sikre seg mot dataangrep?<br />
– På samme måte som<br />
man i gamle dager forventet<br />
at folk låste døra si for å<br />
hindre innbrudd, så forventer<br />
vi i dag at folk gjør<br />
grunnleggende grep for<br />
å beskytte seg mot dataangrep.<br />
Vi anbefaler å sørge<br />
for at man har beskyttelse av<br />
sine datasystemer, brannmurer,<br />
viruskontroll og har backup,<br />
sier han.<br />
Han understreker at videre krav og<br />
forventninger kommer an på hvilken<br />
bransje og hva slags virksomhet det er<br />
snakk om.<br />
– Noen jobber med hemmelighetsstemplede<br />
ting, mens andre har et<br />
lavere sikkerhetskrav, men felles for<br />
alle type virksomheter er at deres<br />
egen informasjon er kritisk for deres<br />
egen virksomhet. Det som går igjen<br />
og vi ofte hører når det skjer noe er:<br />
«Oj, det hadde jeg ikke tenkt på». Det<br />
handler om sikring av egen<br />
informasjon og det å ha et<br />
bevisst forhold til hvordan<br />
man lagrer og har backup<br />
av kritisk informasjon. Vi<br />
gir de samme rådene til<br />
både store og små virksomheter,<br />
siden konsekvensene<br />
i bunn og grunn er de<br />
samme: De ansatte får ikke<br />
gjort det de skal gjøre.<br />
Kan skje den beste<br />
Bedrifter investerer kanskje i dyre sikkerhetssystemer,<br />
men det er like viktig<br />
å sørge for at de ansatte har gode<br />
rutiner. Aalmo tror mye av nøkkelen<br />
ligger i om og hvordan man øker bevisstheten<br />
til den enkelte bruker.<br />
– De aller fleste virusangrep vi hører<br />
om og får anmeldelser på, starter<br />
ofte med at noen har trykket på et<br />
vedlegg eller en virusinfisert-lenke i<br />
en epost. Det må folk bli oppmerksomme<br />
på, for det kan skje den beste,<br />
sier Aalmo.<br />
<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 41
digitalisering<br />
Stor industripark: I alt 40 virksomheter har sitt<br />
tilholdssted i Kongsberg teknologipark.<br />
42<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
– Vi må kunne<br />
gjøre alt uten IKT<br />
I Kongsberg teknologipark er ledelsen forberedt på<br />
det meste, også å måtte klare seg uten strøm og IKT.<br />
tekst og foto: Ingeborg Altern<br />
Kongsberg Teknologipark AS<br />
(KTP) drifter all infrastruktur<br />
i parken som huser om lag førti<br />
virksomheter hvorav ti er industrivernpliktige.<br />
– Vi tilbyr bunkere til servere og<br />
linjer inn og ut, men bedriftene drifter<br />
sine egne IKT-system, forteller<br />
Jørn Antonsen. Han er leder for informasjons-<br />
og kommunikasjonsteknologi<br />
(IKT) i teknologiparken og er<br />
innsats leder for det samme området i<br />
parkens bered skapsorganisering.<br />
– Vi følger likhetsprinsippet i<br />
bered skapsarbeidet, så folk har<br />
samme rolle i kriser som i det daglige,<br />
forteller industri vern leder Willy<br />
Amundsen. I bedriften har han tittelen<br />
«leder sikkerhet & kundeservice».<br />
Beredskap for hele parken<br />
De ti industri vernpliktige virksomhet<br />
ene og KTP har til sammen 30<br />
industri vernere fordelt på stab og fire<br />
innsatslag. I tillegg består parkens<br />
egenbered skap av innsats ledere med<br />
ansvar for henholdsvis IKT, orden og<br />
sikring, drift, leietaker og kraftforsyning/elektro.<br />
Disse er tilgjengelige for<br />
redningsstaben og nødetatene.<br />
– De andre ansvarsområdene er avhengig<br />
av at IKT og elektro fungerer.<br />
Ved en husbrann rett ved parken var<br />
det en enorm røykutvikling. Driftsansvarlig<br />
kunne da sitte hjemme og<br />
fjernstyre ventilasjonen på de nærmeste<br />
byggene slik at de ikke fikk<br />
røykskader, forteller Amundsen.<br />
– Vi har gjort tiltak med blant annet<br />
to-faktor-identifisering som gir<br />
sikker tilgang til våre systemer, understreker<br />
Antonsen.<br />
Dessuten er det ikke alt som er<br />
digi talisert:<br />
– Vi har tenkt nøye gjennom hva<br />
som skal kunne fjernstyres, sier Kjetil<br />
Haugen, leder og innsats leder for<br />
elektro.<br />
Og nettopp gjennomtenkte løsning<br />
er går igjen i alt KTP gjør.<br />
– I ROS-analysen må vi tenke det<br />
utenkelige, hva kan skje? Og hva må<br />
til for å kunne holde produksjonen i<br />
gang om det utenkelige faktisk skjer,<br />
understreker administrerende direktør<br />
og leder i redningsstaben, Johnny<br />
Løcka.<br />
Kraftforsyning<br />
Med omsetningskonsesjon må KTP<br />
forholde seg til forskrift om beredskap<br />
i kraftforsyningen i tillegg til<br />
andre krav.<br />
KTP har nødaggregat og nok diesel<br />
til å forsyne de viktigste delene av<br />
park en med strøm i uker, slik som<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 43
digitalisering<br />
«Vi forsøker å eliminere muligheten for<br />
menneskelige feil.»<br />
Johnny Løcka,<br />
administrerende direktør<br />
kjøling i serverbunkerne. Dermed ligger<br />
det meste til rette for at IKT kan holdes<br />
i drift under en krise. De har også<br />
mulighet til å avstenge deler av anlegget<br />
ved behov, dette har også skjedd.<br />
– Vi må ikke gjøre oss så sårbare hvis<br />
ting ikke virker, vi kan ikke være avhengige<br />
av IKT, understreker Amundsen.<br />
Administrerende direktør Løcka har<br />
tiltro til mannskapet sitt:<br />
–Selv om oppgavene er langt enklere<br />
med IKT, så vil vi klare å levere uten i en<br />
periode. Og om planverket ikke skulle<br />
være tilgjengelig verken digitalt eller på<br />
papir, vil våre folk gjøre det de skal fordi<br />
de kan jobbene sine og har øvd.<br />
Fjerner menneskelige feil<br />
KTP har ansvar for både den fysiske og<br />
den digitale infrastrukturen for alle i<br />
parken.<br />
– Kundene våre aksepterer ikke<br />
driftsstans. Vi har sett en markant endring<br />
i kravene til leveranse, men folk må<br />
være villig til å betale, sikkerhet har en<br />
pris, understreker Løcka.<br />
Og prisen er ikke bare økonomisk.<br />
Antonsen nevner en rekke begrensninger<br />
for deres ansatte:<br />
– Våre medarbeidere har ikke admi<strong>nr</strong>ettigheter<br />
på sin jobb-PC, så de kan<br />
ikke installere noe. Det er ikke mulig<br />
å bruke skytjenester eller sosiale kommunikasjonstjenester,<br />
og en rekke nettsteder<br />
er sperret. Hvis man klikker på en<br />
lenke i en epost er denne sperret, men<br />
man kan kopiere lenkeadressen og lime<br />
den inn i ekstern nettleser. USB-portene<br />
er deaktivert, de kan kun brukes til lading<br />
og ikke filoverføring.<br />
– Vi forsøker å eliminere muligheten<br />
for menneskelige feil, sier Løcka.<br />
– <strong>Sikkerhet</strong>stiltakene gjør det litt mer<br />
tungvint, men alle forstår og aksepterer<br />
dem, forteller Haugen.<br />
Mobiltelefon med begrensninger<br />
Tidligere var det forbudt med kameratelefoner<br />
inne i teknologiparken, men<br />
nå er de standard som ellers i samfunnet.<br />
– Velger vi å la folk bruke mobiltelefon<br />
må vi gjøre tiltak, understreker<br />
Haugen.<br />
Det er fotoforbud i parken, og mobiltelefonene<br />
de ansatte får er KTPs eiendom.<br />
– Med Mobile Device Management<br />
kan vi slette innholdet på mobiltelefon<br />
via fjernstyring. Mobiler må være registrert<br />
i vårt system for at brukeren skal<br />
få tilgang til sin epost på dem, forteller<br />
Antonsen.<br />
Alle filer blir lagret på en intern server,<br />
men de ansatte kan ikke bruke mobilen<br />
for å få tilgang til dokumenter, og<br />
selv når de sitter på sin jobb-PC får de<br />
bare tilgang til de filene som er relevante<br />
for dem.<br />
Både epost og servere skannes for virus,<br />
men om et kidnappingsvirus skulle<br />
klare å snike seg forbi alle sikkerhetstiltakene<br />
ville det ikke klare å gjøre stor<br />
skade: KTP har sikkerhetskopi av alt.<br />
Kommunikasjon i mange kanaler<br />
Industrivernet og de andre ansatte har<br />
mange måter å kommunisere på. Som<br />
Kongsberg<br />
teknologipark<br />
Næringspark med 40 virksomheter,<br />
av dem er 10 industrivernpliktige.<br />
Bygningsmassen er 300 mål.<br />
Selve teknologiparken er på<br />
500 mål. I tillegg kommer<br />
«Arsenalet» på 230 mål.<br />
6.500 ansatte, 30 av disse er<br />
i industri vernet hvorav 23 av<br />
disse er røyk , gass og kjemikaliedykkere.<br />
Med støttefunksjonene<br />
har de ressurser tilsvarende<br />
rundt det dobbelte.<br />
Industrivernpliktige siden<br />
1938. Ble etablert da sølvverksindustrien<br />
hadde en<br />
dårlig periode, og startet<br />
opprinnelig som Kongsberg<br />
Våpenfabrikk i 1814. Selskapet<br />
var 100 prosent statseid fram<br />
til 1987.<br />
44<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Holder inntrengere ute: Kjetil Haugen (leder/innsatsleder Elektro), Jørn Antonsen (leder/innsatsleder IKT KTP), Johnny Løcka (administrerende<br />
direktør/leder redningsstab KTP) og Willy Amundsen (leder sikkerhet/beredskapsleder og industrivernleder) har både fysiske og<br />
digitale stengsler som beskytter virksomhetene i Kongsberg teknologipark.<br />
reservestyrke for det lokale brannvesenet<br />
fikk industri vernet tidlig tilgang<br />
til Nødnettet, og alle innsats ledere<br />
har hver sin radio.<br />
– Vi har også fasttelefon, mobiltelefon,<br />
satellittelefon, UHF-radio<br />
og VHF-radio, så vi skal alltid klare<br />
å snakke sammen, forteller industrivernleder<br />
Amundsen.<br />
Ved alarm varsles industri vernet<br />
via personsøkere. Løsningen driftes<br />
internt og senderne står sentralt i teknologiparken.<br />
Forklaringen på at den<br />
moderne teknologiparken bruker så<br />
gammel teknologi er klar:<br />
– Vi vil ha enkle løsninger som virker<br />
sier Løcka, og Haugen legger til:<br />
– Og som har lav sikkerhetsrisiko.<br />
Som medlemmer i Kraftforsyningens<br />
bered skapsorganisasjon har KTP<br />
rett til såkalte prioriterte mobilabonnement.<br />
Det betyr at om standardnettet<br />
er nede, skal mobilen automatisk<br />
skifte til et annet nett som<br />
fungerer, selv om det tilhører en konkurrerende<br />
mobiloperatør. Prioriterte<br />
virksomheter kan søke om å få slike<br />
abonnement.<br />
Overvåker<br />
Gjerdet rundt Kongsberg teknologipark<br />
er ikke veldig avskrekkende,<br />
men eventuelle inntrengere kommer<br />
ikke langt. Området videoovervåkes<br />
og patruljeres, bruk av adgangskort<br />
overvåkes og alarmen går ved misbruk.<br />
Også brann og lekkasje oppdages<br />
raskt av automatisk overvåkning.<br />
På samme måte overvåkes det digitale<br />
nettet mot inntrengere og sabotasje.<br />
– Vi følger anbefalinger fra myndighetene<br />
og abonnerer også på relevante<br />
nyhetsbrev. Når NorCERT eller<br />
PST varsler om nye trusler setter vi i<br />
verk tiltak umiddelbart, forteller Antonsen.<br />
NorCERT (norsk Computer Emergency<br />
Response Team) er den operative<br />
delen av Nasjonal sikkerhetsmyndighet<br />
(NSM). Antonsen mener at<br />
høy sikkerhet generelt, og rask reaksjon<br />
når det skjer noe nytt, har stoppet<br />
mange forsøk på datainnbrudd.<br />
Selv om KTP ikke har formelt ansvar<br />
for de andre i parkens IKT-sikkerhet<br />
deler enhetene informasjon<br />
med hverandre. Men det er vanntette<br />
skott mellom de ulike virksomhetenes<br />
IT-systemer:<br />
– Dette for å sikre at virus ikke automatisk<br />
smitter over til naboen, sier<br />
Antonsen.<br />
KTP og virksomhetene der har<br />
også møter med PST flere ganger i<br />
året. I tillegg forholder de enkelte bedriftene<br />
i parken seg til andre lands<br />
myndigheter. Med utenlandske eiere<br />
gjelder gjerne en annen lovgivning og<br />
kultur, og KTP legger lista etter den<br />
virksomheten i parken som har det<br />
strengeste regimet.<br />
•<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 45
digitalisering<br />
Sikring inn i<br />
HMS-regelverket<br />
Tydeliggjøring i intern kontroll for skriften.<br />
Den 1. juli ble flere av formuleringene<br />
i interkontrollforskriften endret for å<br />
synliggjøre arbeidsgivers ansvar for å<br />
hindre sabotasje og terror. Bakgrunnen<br />
er blant annet terrorangrepene<br />
22. juli. Det skriver teknologi- og<br />
kompetanseselskapet Infotjenester på<br />
sitt nettsted.<br />
– Et av målene med endringene er å<br />
synliggjøre arbeidsgivers ansvar for å<br />
forebygge tilsiktede uønskede hendelser<br />
gjennom det systematiske HMSarbeidet,<br />
sier avdelingsleder Siri<br />
Hagehaugen ved enhet for eksplosivsikkerhet<br />
i DSB til Infotjenester.<br />
Presisering<br />
Endringen medfører ingen nye plikter,<br />
men er altså kun en presisering av<br />
at security hører til internkontroll.<br />
I artikkelen står det videre at Hagehaugen<br />
sier at DSB ønsker å synliggjøre<br />
forskjellen på sikring og sikkerhet.<br />
I den nye forskriften er skillet<br />
tydeliggjort ved at det er lagt inn to<br />
nye punkter under §1, som lister opp<br />
områder hvor det skal fremmes forbedringsarbeid<br />
i virksomhetene.<br />
• Forebygging av uhell og ulykker<br />
forbundet med egen lovlig aktivitet<br />
• Forebygging av uønskede tilsiktede<br />
hendelser<br />
– Ikke bare uhell<br />
I 2015 ble det gjort endringer i<br />
brann- og eksplosjonsvernloven, som<br />
nå etter følges av disse endringene i<br />
intern kontrollforskriften.<br />
– Målet er at det skal bli en integrert<br />
del av det systematiske HMS-arbeidet<br />
i virksomhetene, og at de ikke<br />
bare skal tenke uhell. For virksom heter<br />
som håndterer kjemikalier må det<br />
stilles spørsmål ved hvem som trenger<br />
å ha tilgang til disse, om det er behov<br />
for tilgangskontroll og om de har et<br />
godt system for å holde oversikt over<br />
om noe blir borte, sier Hage haugen i<br />
DSB til Infotjenester. NSO<br />
S for sikkerhet og sikring<br />
Med endringen i internkontrollforskriften<br />
som kom i sommer er<br />
HMS-begrepet noe utvidet. For<br />
industri vernet vil dette kunne få betydning<br />
dersom «kartleggingen av<br />
farer og problemer» som kreves i<br />
intern kontroll forskriftens § 5 viser at<br />
uønskede tilsiktede handlinger kan<br />
medføre hendelser med konsekvenser<br />
som ikke tidligere er vurdert.<br />
Når S i HMS nå inkluderer både<br />
«safety» (sikkerhet) og «security»<br />
(sikring) bør det bli mer naturlig å<br />
jobbe like systematisk med alle sider<br />
av sikkerhetsbegrepet. For beredskapsformål<br />
er det i utgangspunktet<br />
mindre viktig med søkelys på hvorfor<br />
en hendelse skjer.<br />
Like fullt vil planlagte handlinger<br />
stille nye krav til vurderinger av blant<br />
annet samtidige hendelser. En planlagt<br />
«ulykke» der for eksempel varslings-/nødsystemer<br />
bevisst er satt ut<br />
av drift vil kunne skape store problemer<br />
– også for de som skal håndtere<br />
redningsinnsatsen.<br />
Andre vurderinger<br />
NSO kjenner selvsagt til at mange allerede<br />
har dette med i sine risikovurderinger<br />
og dermed har beskrevet<br />
uønskede hendelser med bakgrunn i<br />
tilsiktede hendelser. Til de som ikke<br />
føler at de har dette under kontroll<br />
anbefaler vi en ny gjennomgang.<br />
• Hvilke trusler er det vi bør vurdere?<br />
• Hvilke verdier/produkter, hvilken<br />
informasjon eller hvilke markedstilganger<br />
kan bli truet?<br />
• Hvor enkelt/vanskelig er det å<br />
skade/stjele disse?<br />
• Hvilke konsekvenser kan det få?<br />
Det krever med andre ord litt andre<br />
46<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
Sikring inn i forskriften: Hvis uønskede tilsiktede handlinger kan medføre hendelser med konsekvenser som ikke tidligere er vurdert,<br />
må industrivernets beredskap endres. Bildet er fra Øvelse Bjørn 3. juni 2015 i regi av Samøv Buskerud, der en rekke scenarioer skjedde samtidig.<br />
Foto: Karoline Kathrine Åbyholm<br />
vurderinger enn før, og dette vil du<br />
finne noe om i artikler i tidligere utgaver<br />
av <strong>Sikkerhet</strong>. Også i denne utgaven<br />
vil du få innspill og ideer om<br />
hvordan dere kan og bør beskytte<br />
dere mot aktuelle trusler.<br />
Digitale trusler<br />
Vi leser mye om trusler i det «digitale<br />
rom». Noen har allerede fått merke<br />
konsekvensene av innbrudd i datasystemer,<br />
kidnapping av informasjon<br />
på servere og manglende sikring av<br />
kritiske digitale styringssystemer.<br />
Dette stiller nye krav til forståelse av<br />
egen sårbarhet.<br />
Dette kan også få innvirkning på<br />
håndtering av hendelser. Hvis fjernstyring<br />
og overvåkning av større anlegg<br />
blokkeres blir det fort vanskelig<br />
å skaffe seg oversikt og handle riktig.<br />
Får uvedkommende adgang til kritisk<br />
informasjon om virksom hetens<br />
anlegg vil dette kunne brukes til å<br />
«designe» hendelser som kan ende<br />
med alvorlige ulykker. Slik informasjon<br />
kan også brukes til å sabotere<br />
normal drift og dermed forstyrre leveranser<br />
som er viktige for virksomhetenes<br />
kunder. Dette vil kunne gå<br />
utover muligheten til å få fremtidige<br />
kontrakter.<br />
NSO oppfordrer industri vernledere<br />
til å benytte denne forskriftsendringen<br />
som en mulighet til å<br />
gjennomgå risikovurderingene og<br />
oversiktene over uønskede hendelser<br />
på nytt. Da vil industri vernet være<br />
enda bedre rustet til å berge liv og arbeidsplasser<br />
– uansett årsak til hendelsene.<br />
Knut Oscar Gilje<br />
Direktør<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 47
digitalisering<br />
Lat og Lur: De late ser etter nye løsninger. Hvordan kan en oppgave gjøres lettere med ny teknologi?<br />
Illustrasjon: Creatarka/Shutterstock<br />
Vart du skræmt no?<br />
Vær nysgjerrig, men ikke naiv.<br />
Etter å ha lest dette nummeret av <strong>Sikkerhet</strong><br />
har du vel fått det med deg:<br />
Klikk ikke ukritisk på lenker, kjør<br />
oppdateringer, gi ikke fra deg verdifull<br />
informasjon:<br />
Tro ikke alt hva du leser,<br />
del ikke alt hva du vet.<br />
Da sparer du mange penger,<br />
og opptrer med sikkerhet.<br />
Skremmende situasjon<br />
Det er lett å bli skremt i dagens arbeidsliv.<br />
En liten feil du gjør, kan<br />
koste bedriften mange tusen kroner<br />
– kanskje mer.<br />
Driver vi i <strong>Sikkerhet</strong> med skremsels<br />
propaganda? Ønsker vi oss tilbake<br />
til skrivemaskiner med kulehode og<br />
rettetast, til fabrikker uten automatisering<br />
og kontorer der faks var den<br />
raskeste måten å sende brev? Nei!<br />
Nysgjerrig og lat<br />
Tro det eller ei, men jeg som har ivret<br />
mest for å sette digitalisering på<br />
dagsorden i <strong>Sikkerhet</strong>, jeg er en skikkelig<br />
nerd. Jeg elsker å finne ut av ny<br />
programvare, praktiske apper og nye<br />
løsninger. Det finnes knapt større<br />
lykke enn å automatisere en kjedelig<br />
manuell operasjon eller å lykkes med<br />
å skrive en vanskelig kode. Jeg er stort<br />
sett sjøllært. Det jeg kan har jeg lært<br />
gjennom prøving og feiling, nysgjerrighet<br />
og latskap.<br />
I følge skribenten Bjørn Gabrielsen<br />
er det nemlig de late som bringer<br />
verd en framover. De flittige fortsetter<br />
å gjøre arbeidsoperasjoner på samme<br />
måten som sine foreldre og besteforeldre,<br />
mens vi late spekulerer på hvordan<br />
oppgavene kan løses med mindre<br />
arbeid.<br />
Ser du mulighetene?<br />
Har han rett i sin hypotese ønsker jeg<br />
meg flere late folk i norsk industri.<br />
Folk som ser etter nye løsninger, som<br />
funderer på hvordan oppgavene kan<br />
løses annerledes med ny teknologi,<br />
hvordan produksjon og bered skap<br />
kan forbedres med digitale hjelpemidler.<br />
Er du nysgjerrig og lat (på den riktige<br />
måten!) kan du være den som<br />
revolu sjonerer egen arbeidsplass.<br />
Kanskje finner du opp en metode<br />
som sørger for at produksjonen i<br />
Norge blir mer lønnsom? Kanskje<br />
tar du initiativ til en app som hjelper<br />
dere å redusere antall ulykker? Kanskje<br />
kan digitale løsninger sørge for<br />
at industri vernet kommer raskere på<br />
plass når ulykken har skjedd?<br />
Mulighetene er nærmest uendelige.<br />
Ser du dem?<br />
Ingeborg Altern<br />
Journalist, utvikler og designer<br />
48<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
huskeliste<br />
Følg myndighetens anbefalinger<br />
Kjenn til truslene: Lytt til Nasjonal sikkerhetsmyndighet,<br />
Politiets sikkerhetstjeneste og andre sikringseksperter.<br />
Følg anbefalingene på nettvett.no<br />
Oppdater systemer og programmer.<br />
Informasjon er verdier<br />
Hvor lenge kan dere drive uten tilgang til filene deres?<br />
Pass på at dere har sikkerhetskopi av alt.<br />
Hvor lenge kan dere drifte produksjon og logistikk uten nettilgang?<br />
Ha gode reserveløsninger.<br />
Hvor verdifulle er deres bedriftshemmeligheter?<br />
Sørg for at verdifull informasjon ikke kommer på avveie.<br />
Opplæring av de ansatte<br />
Gjør de ansatte bevisste på digitale trusler – og muligheter.<br />
Ha gode rutiner – og forklar hvorfor de må følges.<br />
Inkluder sikringshendelser<br />
Hvilke (digitale) sikringshendelser kan ramme virksomheten?<br />
Hvordan skal industrivern og annen egenberedskap håndtere disse?<br />
Øv på de mulige scenarioene – uten tilgang til filer og nett.<br />
Anmeld til politiet<br />
Blir dere utsatt for svindelforsøk, dataangrep o.l. – anmeld saken til politiet.<br />
Politiet trenger oversikt over hendelser for å kunne gå etter skurkene<br />
og for å forebygge nye hendelser.<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 49
forskrift<br />
Revidering av forskrift om industri vern<br />
Ønsker at virkeområdet<br />
i forskriften<br />
skal treffe bedre.<br />
tekst og foto: Karoline K. Åbyholm<br />
Siden slutten av juni har NSO og DSB<br />
arbeidet med revidering av forskrift<br />
om industri vern.<br />
– Vi har registrert at forskriften<br />
ikke treffer helt, sier spesialrådgiver i<br />
NSO, Bjørn Egil Jacobsen.<br />
Han og juridisk fagsjef i NSO, Inger<br />
H. Bye, leder NSOs arbeid med å revidere<br />
forskriften. Representanter fra<br />
DSB og alle i NSO som går tilsyn vil<br />
bli involvert i arbeidsprosessen.<br />
– Ett av målene er at forskriften<br />
skal være så godt som mulig tilpasset<br />
bered skapsbehovet i ulike typer virksomheter,<br />
sier Jacobsen.<br />
De påpeker et behov for at forskriften<br />
må utvikle seg i tråd med beredskapsbehovet<br />
lokalt.<br />
– Det er et økt behov for forberedt,<br />
rask og presis informasjon til nødetatene.<br />
Dette er helt nødvendig i en<br />
akuttsituasjon som involverer farlige<br />
stoffer, angrepsveier og mulige farer.<br />
Denne utviklingen er også forskriften<br />
nødt til å gjenspeile. Vi må også skape<br />
større forståelse for hvor viktig det er<br />
å utnytte de ressursene som allerede<br />
er på virksomhetene og hos nød etatene<br />
lokalt, sier Jacobsen.<br />
Diskuterer næringskodene<br />
Det er i første omgang virkeområdet<br />
for forskriften, altså hvilke næringskoder<br />
forskriften gjelder for, som blir<br />
diskutert.<br />
– Erfaring med forskriften har vist<br />
at virksomheter som etter vår mening<br />
bør ha industri vern faller utenfor forskriften.<br />
Derfor er vi nødt til å se på<br />
hvilke næringskoder forskriften skal<br />
gjelde for. Det er også mulig at noen<br />
av virksomhetene som i dag er omfattet<br />
av forskriften ikke driver den type<br />
aktivitet som tilsier at industri vern er<br />
nødvendig, sier Bye.<br />
– Vi har sett flere hendelser de siste<br />
årene hvor vi tror konsekvensene<br />
kunne vært redusert med et robust<br />
industri vern. Vi kommer særlig til å<br />
diskutere og se på næringskoder som<br />
gjelder farlige stoffer, lagring og steder<br />
hvor det er få mennesker til stede,<br />
men stor aktivitet som kan medføre<br />
hendelser med behov for egenberedskapstiltak,<br />
sier Jacobsen.<br />
Trengs en tydeliggjøring<br />
Hvilke andre endringer som kommer<br />
er foreløpig usikkert.<br />
– Vi må få på plass næringskodene<br />
forskriften skal gjelde for først,<br />
for hvilke bransjer forskriften gjelder<br />
for vil påvirke hvordan resten av<br />
forskrift en skal være. Noen paragra<br />
50<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
<strong>Sikkerhet</strong>s gule sider<br />
førstehjelp<br />
samaband & varsling<br />
Forskrift om<br />
industrivern<br />
Forskriften skal sikre at virksomheter har et robust<br />
industri vern som forsvarlig og effektivt er i<br />
stand til å begrense de konsekvenser uønskede<br />
hendelser kan få for liv, helse, miljø og materielle<br />
verdier og å bidra til rask normalisering.<br />
Fastsatt av Direktoratet for samfunnssikkerhet<br />
og bered skap 20. desember 2011 med hjemmel<br />
i lov 25. juni 2010 <strong>nr</strong>. 45 om kommunal beredskapsplikt,<br />
sivile beskyttelsestiltak og Sivilforsvaret<br />
(sivilbeskyttelsesloven) § 23 femte ledd<br />
og § 30 jf. dele gerings vedtak 1. september<br />
2003 <strong>nr</strong>. 1161.<br />
Endret ved forskrift 18 februar 2015 <strong>nr</strong>. 135.<br />
En kamp for livet – mot klokken<br />
• Kurs<br />
• Kurshefter<br />
• Førstehjelpsutstyr<br />
• Hjertestarter<br />
• Treningsdukker<br />
• Bårer<br />
• HMS<br />
Telefon: 53482050<br />
E-Post: hlr.post@hjertevaktem.no<br />
web: hjertevakten.no<br />
Nettbutikk:<br />
www.hjertevakten.com<br />
kurs & opplæring<br />
Reaching<br />
people<br />
when<br />
it matters<br />
most<br />
Les mer på ums.no<br />
MÅ UTVIKLE SEG: Ett av målene med revidering av<br />
forskrift om industrivern er at forskriften skal være så godt<br />
som mulig tilpasset beredskapsbehovet i ulike typer virksomheter.<br />
Juridisk fagsjef Inger H. Bye og spesialrådgiver<br />
Bjørn Egil Jacobsen påpeker behovet for at forskrif ten må<br />
utvikle seg i tråd med bered skapsbehovet lokalt.<br />
NISIK AS, DIN<br />
TOTALLEVERANDØR AV<br />
OPPLÆRING OG ØVELSER.<br />
Se terminliste annet sted i bladet<br />
Vi skreddersyr mot din bedrift.<br />
tore@nisik.no<br />
mobil 915 10 223<br />
fer må kanskje skrives om, og mulig ens må nye legges<br />
til, sier Bye.<br />
De ser begge uansett behovet for en tydeliggjøring<br />
av enkelte begreper og en gjennomgang av<br />
terminologien i forskrift en.<br />
– Begrepet sysselsatte bidrar til misforståelser.<br />
Når virksomheter leier inn arbeidskraft vil ikke<br />
dette påvirke antall ansatte, men antall sysselsatte<br />
som jobber på virksomheten vil endres. Det er en<br />
stor utfordring å kommunisere dette med virksomhetene.<br />
Vi må fange opp virksomheter hvor<br />
antall sysselsatte og aktiviteten tilsier et behov for<br />
industri vern, sier Jacobsen.<br />
Trer i kraft neste år<br />
Endring av forskrifter er en omstendelig prosess,<br />
og er ikke gjort over natten.<br />
– Vi er godt i gang, men mye arbeid gjenstår<br />
fortsatt. Vi skal ha interne diskusjoner i NSO<br />
og arbeidsmøter med DSB utover høsten. Det<br />
er DSB som i samarbeid med Justis- og beredskapsdepartementet<br />
godkjenner og fastsetter forskriften.<br />
sier Bye.<br />
Målet er at den reviderte forskrift en trer i kraft<br />
1. juli 2018. Du vil få siste nytt om endringen av<br />
forskriften på nso.no.<br />
•<br />
En kamp for livet – mot klokken<br />
• Kurs<br />
• Kurshefter<br />
• Førstehjelpsutstyr<br />
• Hjertestarter<br />
• Treningsdukker<br />
øvelser<br />
• Bårer<br />
• HMS NISIK AS, DIN<br />
TOTALLEVERANDØR AV<br />
Telefon: 53482050<br />
E-Post: hlr.post@hjertevaktem.no<br />
web: hjertevakten.no<br />
Nettbutikk:<br />
www.hjertevakten.com<br />
Din annonse her?<br />
Se frister etc side 59<br />
OPPLÆRING OG ØVELSER.<br />
Se terminliste annet sted i bladet<br />
Vi skreddersyr mot din bedrift.<br />
tore@nisik.no<br />
mobil 915 10 223<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 51
digitalisering<br />
konferanse<br />
Mini-kurs på konferansen<br />
Det er mulighet for å ta to<br />
ulike mini-kurs på årets<br />
Industrivernkonferanse.<br />
tekst: Karoline K. Åbyholm<br />
Antall påmeldte til Industrivernkonferansen<br />
i desember har økt jevnt og<br />
trutt over sommeren. Programmet er<br />
nå så godt som ferdig, og det arbeides<br />
nå med de siste forberedelsene.<br />
– Vi er glade for at mange stoler på<br />
at NSO skal levere et godt faglig arrangement,<br />
og vi arbeider nå med å få<br />
spikret de siste programpostene, sier<br />
NSOs direktør Knut Oscar Gilje.<br />
Beredskapsverktøy<br />
Nå har NSO gleden av å fortelle at det<br />
blir to mini-kurs; ett som bygger på<br />
NSOs kurs i øvelsesplanlegging og ett<br />
i bered skapsanalyse.<br />
– Dette å få noen konkrete verktøy<br />
de kan videreføre i sitt beredskapsarbeid<br />
er noe vi vet at mange<br />
deltakere har etterspurt tidligere.<br />
Derfor ser vi frem til å tilby nettopp<br />
dette på konferansen i år, sier Gilje.<br />
Begrenset kapasitet<br />
Deltakerne vil motta et kursbevis etter<br />
endt seksjon.<br />
– Vi har dessverre begrenset kapasitet<br />
på mini-kursene, så vi vil ha et<br />
påmeldingssystem etter hvert som<br />
konferansen nærmer seg. Hvis dette<br />
er en suksess, skal du ikke se bort ifra<br />
at vi vil fortsette med kurs på senere<br />
konferanser.<br />
Gilje understreker at mini-kursene<br />
ikke erstatter fullversjonen av kursene:<br />
– Hvis man ønsker mer dyptgående<br />
kunnskap om enten øvelsesplanlegging<br />
eller bered skapsanalyse<br />
vil vi anbefale å ta et fullverdig kurs.<br />
Mini-kursene vil gi en god innføring<br />
IV-konferansen<br />
Industrivernkonferansen (tidligere<br />
Fagseminaret) holdes hvert år<br />
den første tirsdagen og onsdagen<br />
i desember.<br />
Konferansen tilrettelegges for<br />
ledende fagpersoner innen beredskap<br />
og industri vern.<br />
I år holdes konferansen 5.-6.<br />
desember på Thon Hotel Arena i<br />
Lillestrøm.<br />
i temaet, men to klassetimer vil aldri<br />
kunne erstatte et kurs som varer én eller<br />
flere dager.<br />
Erfaringsutveksling<br />
I tillegg til mini-kurs i beredskapsanalyse<br />
vil det bli mulig å velge ulike<br />
seksjoner tirsdag ettermiddag; seksjonene<br />
er delt opp i tema ene innsatsledelse,<br />
førstehjelp og brann vern.<br />
– Vi tror at alle vil finne foredrag<br />
som vekker interesse. Gjennom hele<br />
konferansen vil vi dele erfaringer – og<br />
lære av dem, sier Gilje.<br />
<br />
Informasjon om program og opphold samt påmelding: www.nso.no<br />
Meld dere på via nettstedet nso.no.<br />
Alle henvendelser om deltakelse og<br />
opphold, også ved endringer, skal<br />
rettes til Hotellink som administrerer<br />
industri vernkonferansen for NSO. Faktura<br />
kommer fra Hotellink, ikke NSO.<br />
For endringer på bestillingen, kontakt<br />
Per Mikkelsen i Hotellink:<br />
tlf: 66786250, epost: per@hotellink.no<br />
Deltakeravgift<br />
Begge dager, per person: 4.700 kr<br />
Én dag, per person: 2.900 kr<br />
Overnatting/forpleining<br />
Alt-inkludert -pakke: 3.195 kr<br />
Ekstra overnatting 4.-5. des.: 1.195 kr<br />
For dagsbesøkende:<br />
Lunsj/pausemat<br />
630 kr<br />
Fellesmiddag 5. des. 1.120 kr<br />
52<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
konferanseprogram<br />
Tirsdag 5. desember<br />
Tispunkt Tema Foredragsholder<br />
0900-1000 Registrering<br />
1000-1045 Praktisk info/velkommen Knut Oscar Gilje, NSO<br />
1045-1145 Åpningsforedrag<br />
1145-1200 Utstillerne presenteres<br />
1200-1300 Lunsj<br />
Seksjon 1<br />
Innsatsledelse<br />
1300-1340 Innsatsledererfaringer fra SIM-<br />
KAT og den virkelige verden<br />
– Stefan Moldvær, politioverbetjent<br />
i Sør-Øst politidistrikt<br />
1340-1400 Utstilling<br />
1400-1440 Syvtrinnsmodellen (enhetlig<br />
ledelsessystem) – Ole Aaker,<br />
Norges brannskole<br />
1440-1500 Utstilling<br />
1500-1540 Innsatsledere fra industrien –<br />
ferske erfaringer fra hendelser<br />
Seksjon 2<br />
Brannvern<br />
Nytt på brannfronten – utstyr og<br />
metode<br />
«Eksplosjon og brann i ammoniakkfabrikken»<br />
– slik håndterte<br />
vi det – Pål Klavenes, fabrikksjef<br />
ammoniakkfabrikken Yara<br />
Porsgrunn og Paul Roger Heie,<br />
innsatsleder Nokas Beredskap<br />
AS<br />
Samarbeid mellom industrivernpliktige<br />
virksomheter og<br />
brannvesenet – Øyvind Stensø<br />
Skjørholm, brannsjef i Hadsel<br />
kommune og industrivernleder<br />
hos Skretting, Roar Hellem<br />
Seksjon 3<br />
Førstehjelp<br />
Håndtering av kjemikaliehendelse<br />
Effektiv øvelse av håndtering<br />
av klemskader –<br />
Ollie Hancock, Casualty<br />
Resources<br />
Åpen post<br />
Seksjon 4<br />
Mini-kurs<br />
Mini-kurs i<br />
øvelsesplanlegging<br />
del 1<br />
Mini-kurs i<br />
øvelsesplanlegging<br />
del 2<br />
Mini-kurs<br />
i beredskapsanalyse<br />
del 1<br />
1540-1600 Utstilling<br />
1600-1640 Dette bør innsats ledere ha i<br />
sin opplæring – NSO<br />
Ny utdanningsmodell – løsninger<br />
for deltidsbrannvesen – Jan<br />
Erik Andersen, Norges brannskole<br />
Reaksjoner etter ulykker<br />
– Stein Moen, Soscon,<br />
Institutt for krisehåndtering<br />
Mini-kurs<br />
i beredskapsanalyse<br />
del 2<br />
1640-1800 Utstilling<br />
1900 Aperitif før middag kl. 19:30<br />
Onsdag 6. desember<br />
Tidspunkt Tema Foredragsholder Mini-kurs<br />
0830-0915 Akutthjelpere Bjørn Jamtli, seniorrådgiver i Helsedirektoratet<br />
0915-1000 S for sikkerhet og sikring – Hvordan påvirker<br />
endring i internkontrollforskriften<br />
industri vernets oppgaver?<br />
1000-1030 Utsjekk<br />
1030-1115 Slik bygger og vedlikeholder vi en sikkerhetskultur<br />
Roger Soraasdekkan, adm. dir. Allnex<br />
Mini-kurs i øvelsesplanlegging<br />
del 1<br />
Mini-kurs i øvelsesplanlegging<br />
del 2<br />
Mini-kurs i beredskapsanalyse<br />
del 1<br />
1115-1200 Industrivern ledere med fokus på sikkerhetskultur<br />
1200-1245 «Fem personer til sykehus etter H2Sutslipp»<br />
Ole Ragnar Helgen, Bilfinger og Kristin<br />
Samuelsen, Sisterne Drift, Sjursøya<br />
Bernhard Eriksen, industrivernleder Sture<br />
og Kollsnes, Statoil<br />
1245-1300 Avslutning Knut Oscar Gilje, direktør i NSO<br />
1300-1400 Lunsj<br />
Dette er et foreløpig program, og NSO tar forbehold om endringer. Oppdatert program finner du til enhver tid på nso.no<br />
Mini-kurs i beredskapsanalyse<br />
del 2<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 53
nettverk<br />
Unge markører: Forsvaret hjalp til på øvelsen.Foto: Mariann Nesvold<br />
Industrivernleder tatt på senga<br />
Onsdag 7. juni hadde industri vernet ved Nortura SA avd.<br />
Målselv en uvarslet øvelse i samarbeid med nødetatene og<br />
forsvaret. Ikke en gang industri vern leder Harald Brenna<br />
visste om øvelsen!<br />
– Det var kun daglig leder og brannmester i forsvaret<br />
som visste om øvelsen på forhånd. Jeg ble fullstendig tatt<br />
på senga! Under en hendelse er jeg også innsats leder, så jeg<br />
synes det var bra å få testet meg selv i en øvelsessituasjon<br />
som jeg ikke hadde vært med på å planlegge, sier Brenna.<br />
Scenarioet var brann i andreetasje, og det var stor røykutvikling<br />
og fire skadde. Forsvaret stilte opp som markører.<br />
– Det var mange læringspunkter for oss, vi slet blant annet<br />
litt med radiokommunikasjonen under øvelsen. Vi skal<br />
ha et møte med nødetatene og alle involverte etter sommerferien<br />
for å planlegge det videre bered skapsarbeidet,<br />
sier Brenna.<br />
• NSO<br />
Diplom: Fra venstre fabrikksjef Arne Viggo Nesvold, brannvernleder<br />
og hedersmann Tor Sundheim og industrivernleder Harald<br />
Brenna.<br />
Foto: Mariann Nesvold<br />
Hedersdiplom til Sundheim<br />
Under evalueringen av den uvarslede øvelsen hos Nortura<br />
Målselv onsdag 7. juni, ble det utdelt et hedersdiplom til en<br />
trofast industri verner.<br />
– Tor Sundheim har egentlig gått av med pensjon, men<br />
han jobber litt hos oss fortsatt. Han har vært brann vernleder<br />
i 23 år. Vi gratulerer Tor så mye og takker ham for en<br />
lang tjeneste som brann vern leder og ønsker ham lykke til<br />
videre, sa industri vern leder Harald Brenna. • NSO<br />
SAMARBEIDER: Disse virksomhetene deltok på møtet: Trigger<br />
AS, Viknes AS, Karsten Moholt AS, One Subsea AS, NOBI Askøy AS,<br />
Semco Maritime AS og Isbjørn Is AS.<br />
Foto: Harald J. Bergmann<br />
Askøybedrifter idemyldrer<br />
– Vi kan lage et spleiselag når innsatspersonellet trenger<br />
kurs.<br />
– Vi kan tipse hverandre når vi har øvelse, så kanskje<br />
noen kan komme utenfra og gi oss tilbakemeldinger.<br />
Ideene myldret da industri vern ledere og innsats ledere<br />
fra syv bedrifter på Askøy kom sammen til sitt halvårlige<br />
nettverksmøte 5. mai. Vertskap denne gang var Viknes Båt<br />
og Service AS og Trigger Jobb AS.<br />
Smarte hoder fant ut at nettverket kan ha nytte av en<br />
egen Facebook-gruppe, for lettere å holde hverandre oppdatert<br />
om hva som skjer og hvilke behov den enkelte har.<br />
Dette tilbød Tommy Olafsen i Trigger seg å lage – så det ble<br />
ikke bare «tenking», men også handling.<br />
Neste møte blir utpå høsten, hos Karsten Moholt AS. Da<br />
vil NSO bidra med et minikurs i risikovurdering og beredskapsplanlegging.<br />
• NSO<br />
Hedersdiplom til Waldemar<br />
Mangeårig industri vern leder ved Eramet Norway AS avd.<br />
Sauda, Waldemar Olsen (t.h.), har blitt hedret med NSOs<br />
Heders diplom. Han fikk utdelt diplomet fra verksdirektør<br />
Rune Dolmen (t.v.).<br />
Olsen har 15 års erfar ing i<br />
industri vernet som industrivern<br />
leder. Han har også erfaring<br />
fra Sauda brannvesen,<br />
hvor han blant annet har<br />
vært utrykningsleder.<br />
NSO gratulerer og takker<br />
for mangeårig innsats!<br />
<br />
NSO<br />
54<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
MANGE DELTOK: Disse deltok på nettverksmøte for industrivern: Silje Alvsvåg og Benedikte Gåsland, Bremnes Seashore AS; Jimmy Lungstrøm,<br />
Sissel Djuvik og Anna Waage, Sjøtroll Havbruk AS; Vidar Siggervåg, Siemens AS; Odd Halleråker og Sanna Simonsen, Servogear AS;<br />
Vanja Espeland, Olvondo AS; Ove Halleraker, Bømlo Brannvern; Sissel Habbestad og Endre Engen, Helse Fonna.<br />
– Ikke undervurder verdien av trening<br />
En godt forberedt<br />
red nings stab er viktig<br />
når en dramatisk<br />
situa sjon inntreffer.<br />
tekst og foto: Harald J. Bergmann<br />
– Det var veldig krevende timer og<br />
dager, fortalte Silje Katrine Alvsvåg<br />
om stabsarbeidet under en langvarig<br />
savnet-sak for bedriften tidligere i år.<br />
Alvsvåg er industri vern leder ved<br />
Bremnes Seashore AS på Bømlo, og<br />
var 23. mai vertskap for et av de regelmessige<br />
nettverksmøtene mellom bedriftene<br />
i kommunen.<br />
Hun fortalte om erfaringene etter<br />
en redningsaksjon som pågikk i<br />
flere dager etter at en ansatt ble meldt<br />
savn et. Bedriftens redningsstab fortsatte<br />
arbeidet også etter at myndighetene<br />
avsluttet letingen. Senere er<br />
den savnede kommet til rette.<br />
Besøk av Helse Fonna<br />
– Jeg vil gjerne formidle hvor viktig<br />
det er å ha en forberedt redningsstab<br />
når en dramatisk situasjon inntreffer.<br />
Vi har fått mange erfaringer gjennom<br />
aksjonen, men klarte oss bra takket<br />
være øvelsene vi hadde gjennomført<br />
tidligere. Ikke undervurder verdien<br />
av trening!<br />
Etter en omvisning i bedriften kom<br />
Helse Fonnas ambulansetjeneste på<br />
besøk. Sissel Habbestad og Endre<br />
Engen er sykepleiere og ambulansearbeidere:<br />
– Det er viktig for oss at noen møter<br />
ambulansen når den kommer til<br />
bedriften. Noen ganger er det også<br />
viktig å ha noen tilgjengelig som kan<br />
hjelpe med tunge løft.<br />
– Øv på HLR<br />
Ambulansepersonellet oppfordret<br />
industri vernet om å repetere hjertelunge-redning<br />
regelmessig. Brannsjef<br />
Ove Halleraker støttet dette.<br />
– Dere må trene på 30-2 minst én<br />
gang hvert år (antall hjertekompresjoner<br />
og innblåsninger, jour.anm.),<br />
Halleraker, som alltid deltar på nettverksmøtene.<br />
Hans lakoniske oppfølging<br />
var:<br />
– For oss i brannvesenet er ikke en<br />
pasient død – i verste fall er han livløs!<br />
Sissel og Endre oppfordret virksomhetene<br />
til å laste ned en app fra<br />
luftambulansen om hvordan man<br />
mottar deres helikopter. Den er fritt<br />
tilgjengelig og kan være nyttig å gjøre<br />
seg kjent med. <br />
<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 55
digitalisering<br />
notiser<br />
Laget ny tavle: Industrivernleder på Røros Vinduer og Dører AS, Kjell Thore Magnussen, sendte en fredag ettermiddag dette bildet til<br />
<strong>Sikkerhet</strong>. På redningsstabens nye tavle kan viktig informasjon noteres raskt og klistrelapper sørger for at ingen elementer blir glemt. En<br />
god idé! Send oss gjerne bilder fra din industrivernhverdag til sikkerhet@nso.no eller send bilde og tekst til <strong>nr</strong>. 936 41 307.<br />
<br />
Foto: Kjell Thore Magnussen/Røros Vinduer og Dører AS<br />
Systematisk ledelse av slukkeinnsatser<br />
Taktikkboken:<br />
Skrevet av Magnus<br />
Mattson og Linus<br />
Eriksson, og oversatt<br />
til norsk av Lars<br />
Brenden.<br />
I august kom en ny norsk<br />
håndbok for utrykningsledere<br />
og annet brannbefal.<br />
Boken finnes fra før<br />
i en svensk utgave og gir<br />
en innføring i systematisk<br />
ledelse av slukkeinnsatser<br />
mot bygningsbranner.<br />
– Norske brannvesen har<br />
lenge etterspurt en til svarende<br />
håndbok på norsk<br />
som tar for seg de taktiske<br />
sidene ved slukking av u like<br />
typer bygningsbranner.<br />
Nå er den endelig her, sier<br />
senior rådgiver og forlagsansvarlig<br />
Thor Kr. Adolfsen<br />
i Norsk brann vernforening.<br />
Taktikkboken er skrevet<br />
av svenskene Magnus<br />
Mattson og Linus Eriksson<br />
og oversatt til norsk av<br />
Lars Brenden, mangeårig<br />
utrykningsleder ved Oslo<br />
brann- og redningsetat. Boken<br />
beskriver trinnvise prosedyrer<br />
for planlegging og<br />
gjennomføring av slukkeinnsatser.<br />
Den tar for seg<br />
utrykningslederens syv viktigste<br />
beslutninger basert<br />
på en modell for scenariobasert<br />
beslutningstaking, den såkalte<br />
7-trinnsmodellen.<br />
– Håndboken inngår som en del<br />
av pensum på Norges brannskole.<br />
Sistnevnte står også bak utgivelsen<br />
sammen med Brannvernforeningen.<br />
Innholdet danner dessuten grunnlag<br />
for interne kurs ved flere av landets<br />
brannvesen, sier Adolfsen.<br />
Taktikkboken er på 136 sider og kan<br />
kjøpes i nettbutikken til Norsk brannvernforening.<br />
Med boken får du også<br />
tilgang til mer enn 600 lysark som<br />
snart kan lastes ned via Brannvernforeningens<br />
nettsider.<br />
<br />
NSO<br />
56<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
TYPISK TILSYN: Slik kan et vanlig tilsyn foregå. Bildet er tatt under et tidligere tilsyn juridisk fagsjef Inger H. Bye hadde ved virksomheten<br />
Kimek AS.<br />
Foto: Karoline Kathrine Åbyholm<br />
– NSO bør ha meir operative tilsyn<br />
Mastergradstudent Sondre<br />
Lekve Bjelle mener<br />
NSO bør prioritere øvelser.<br />
Bjelle har vore mastergradsstudent i<br />
samfunns sikkerheit ved Universitetet<br />
i Tromsø, og leverte våren <strong>2017</strong> ei<br />
oppgåve med tittelen «Tilsyn og sikkerheitsstyring<br />
– ein case-studie av<br />
tre industriverksemder i Troms».<br />
– Eg visste ikkje noko om industrivern<br />
og NSO før eg begynte å jobbe<br />
med denne oppgåva. Eg blei tipsa av<br />
ein professor om at eg kunne skrive<br />
oppgåve i samarbeid med NSO. Eg<br />
sendte ein epost til direktør i NSO og<br />
fekk ein positiv tilbakemelding som<br />
motiverte meg til å finne ei interessant<br />
problemstilling, seier Bjelle.<br />
Var med på tre tilsyn<br />
Problemstillinga han valde å<br />
jobbe med var i kva grad bidrar<br />
Næringslivets sikkerhetsorganisasjon<br />
til sikkerheitsstyring i verksemder<br />
gjennom tilsyn med industri vernet.<br />
– For å tileigne meg kunnskap<br />
leste eg ein del teori rundt bered skap<br />
samt at eg deltok på Industrivernkonferansen<br />
i fjor og kurset «Industrivernforskriften».<br />
På kursa fekk eg<br />
prata med tilsynspersoner frå NSO<br />
og representantar i verksemdene.<br />
Det var slik eg vart opptatt av dette<br />
med tilsyn, som jo er eit viktig verkemiddel<br />
for NSO for å kunne bidra til<br />
robuste industri vern.<br />
Bjelle var med på tilsyn ved tre<br />
verksemder, og intervjua dei tilsette<br />
i etterkant om kva dei meinte om tilsynet.<br />
– NSO fører veldig strukturelle tilsyn<br />
som har eit stort dokumentfokus,<br />
mens industri vern er eit operativt arbeid.<br />
Eg var interessert i kva innsikt<br />
NSO fekk i det operative arbeidet ved<br />
berre å føre dokumenttilsyn.<br />
– Tilsyn med øvingar<br />
– Kva konklusjonar trakk du i oppgåva?<br />
– Dei bered skapsplanane eg fekk<br />
innsyn i var veldig generelle. Dersom<br />
det er ei kritisk hending så må<br />
dei operative ta styringa, noko som<br />
kan føre til desentraliserte avgjerder.<br />
Det synes eg er interessant i kombinasjon<br />
med at NSO legg veldig mykje<br />
vekt på dokumenttilsyn og veldig lite<br />
på det operative arbeidet, seier Bjelle<br />
og meiner eit tilsyn med ei industrivernøving<br />
kan være ein betre måte<br />
for å fange opp nyansane i beredskapsarbeidet<br />
til verksemdene.<br />
– Ei øving vil vere nærare ei reell<br />
hending, og ein vil på den måten få<br />
betre innsikt i bered skapen enn å lese<br />
dokument, meiner Bjelle.<br />
Ynskjer fleire studentar<br />
Direktør i NSO, Knut Oscar Gilje,<br />
syn es oppgåva til Bjelle er interessant<br />
lesing.<br />
– Det er alltid interessant å få analysert<br />
vår verksemd på denne måten.<br />
Bjelle har fleire interessante punkter i<br />
oppgåva si, seier Gilje.<br />
Han oppfordrar andre studentar<br />
som ynskjer å skrive oppgåve i samarbeid<br />
med NSO om å ta kontakt.<br />
– Vi er svært positive til å jobbe saman<br />
med studentar, så det er berre å<br />
ta kontakt dersom nokon er interesserte!<br />
<br />
• NSO<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 57
digitalisering<br />
nso-kurs<br />
Kom på et NSO-kurs – meld deg på: nso.no<br />
Industrivernkonferansen<br />
NSOs Industrivernkonferanse tilrettelegges for industrivern<br />
ledere og led ende fagpersoner innen bered skap.<br />
Seminaret består av foredrag, muligheter for mingling<br />
med andre industri vernere og besøk i utstillingen. Utstillere<br />
fra hele landet stiller med det siste og beste innenfor<br />
bered skaps- og industri vernutstyr og tjenester.<br />
Festmiddagen tirsdag kveld med underholdning er for<br />
mange et høydepunkt. Sted: Lillestrøm<br />
5.–6. desember <strong>2017</strong> 4.–5. desember 2018<br />
Industri vernforskriften: 2-dagers<br />
Kursene passer for industri vern ledere som har behov<br />
for innsikt i forskrift om industri vern, hvilke oppgaver en<br />
industri vern leder må løse og<br />
hvordan et industri vern skal organiseres<br />
og dimensjoneres. An-<br />
11.–12. okt. <strong>2017</strong><br />
14.-15. mars 2018<br />
dre med bered skapsansvar og de<br />
som har behov for å oppdatere 30.-31. mai 2018<br />
seg vil også få utbytte av kurs et. 12.-13. sept. 2018<br />
Det kreves ingen for kunnskaper.<br />
14.-15. nov. 2018<br />
Sted: Oslo<br />
SIMKAT: 2- og 3-dagerskurs<br />
SIMKAT (simulering av katastrofer) gir trening i innsatsledelse<br />
på skadested og organisering av redningsstab. På<br />
kurset får deltakerne prøve seg i ulike roller. 2-dagerskurset<br />
er tilpasset virksomheter med grunnleggende bered skap<br />
eller de med 1-2 forsterk ninger. 3-dagerskurset er tilpasset<br />
virksomheter med flere forsterkninger. Kurset passer<br />
for alle med roller i virksomhetens bered skap, personer i<br />
redningsstab og i virksomhetens ledelse. Sted: Asker<br />
2 dager: 24.–25. okt.<br />
2 dager: 6.–7. mars 2018<br />
2 dager: 16.–17. okt. ‘18<br />
3 dager: 21.–23. nov.<br />
3 dager: 10.–12. april ‘18<br />
3 dager: 20.–22. nov. ‘18<br />
Risiko- og beredskapsanalyse<br />
Kurset skal gi grunnleggende ferdigheter i å kartlegge farer<br />
og problemer, og å utføre en risikovurdering og beskrivelse<br />
som skal benyttes som beslutningsgrunnlag for<br />
å prioritere eventuelle tiltak.<br />
Kurset gjennomgår hvordan du utarbeider en oversikt<br />
over alle uønskede hendelser – som er utgangspunktet<br />
for en beredskapsanalyse. Du vil også lære å velge ut dimensjonerende<br />
uønskede hendelser og hvordan du gjennomfører<br />
en beredskapsanalyse av disse. Med bakgrunn i<br />
analysene får du grunnlag for detaljert dimensjonering av<br />
industrivernet. Sted: NSOs lokaler på Lysaker<br />
14.-15. november 20. mars 2018<br />
OKTOBER <strong>2017</strong><br />
NOVEMBER <strong>2017</strong><br />
DESEMBER <strong>2017</strong><br />
FEBRUAR 2018<br />
uke M T O T F<br />
uke M T O T F<br />
uke M T O T F<br />
uke M T O T F<br />
40 2 3 4 5 6<br />
44 1 2 3<br />
48 1<br />
5 1 2<br />
41 9 10 11 12 13<br />
45 6 7 8 9 10<br />
49 4 5 6 7 8<br />
6 5 6 7 8 9<br />
42 16 17 18 19 20<br />
46 13 14 15 16 17<br />
50 11 12 13 14 15<br />
7 12 13 14 15 16<br />
43 23 24 25 26 27<br />
47 20 21 22 23 24<br />
51 18 19 20 21 22<br />
8 19 20 21 22 23<br />
44 30 31<br />
48 27 28 29 30<br />
52 25 26 27 28 29<br />
9 26 27 28<br />
MARS 2018<br />
APRIL 2018<br />
MAI 2018<br />
SEPTEMBER 2018<br />
uke M T O T F<br />
uke M T O T F<br />
uke M T O T F<br />
uke M T O T F<br />
9 1 2<br />
14 2 3 4 5 6<br />
18 1 2 3 4<br />
36 3 4 5 6 7<br />
10 5 6 7 8 9<br />
15 9 10 11 12 13<br />
19 7 8 9 10 11<br />
37 10 11 12 13 14<br />
11 12 13 14 15 16<br />
16 16 17 18 19 20<br />
20 14 15 16 17 18<br />
38 17 18 19 20 21<br />
12 19 20 21 22 23<br />
17 23 24 25 26 27<br />
21 21 22 23 24 25<br />
39 24 25 26 27 28<br />
13 26 27 28 29 30<br />
22 28 29 30 31<br />
58<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong>
neste nummer<br />
Førstehjelpskurs<br />
Et svært realistisk og praktisk rettet<br />
kurs i førstehjelp tilpasset industrivern.<br />
På kurset vil man få praktisk<br />
trening i å håndtere alvorlige personskader<br />
under veiledning av instruktører<br />
med erfaring fra profesjonell<br />
ambulanse tjeneste. Det vil være<br />
profesjonelle markører, og deltakerne<br />
får muligheten til å trene på å<br />
behandle skadene i trygge og rolige<br />
omgivelser. Sted: Sentrale østlandsområdet<br />
Øvelses planlegging<br />
NSO og Nasjonalt utdanningssenter<br />
for samfunns sikkerhet og beredskap<br />
(NUSB) tilbyr opplæring i å planlegge,<br />
gjennomføre og evaluere<br />
øvels er i sin virksomhet i henhold<br />
til relevante og anerkjente øvingsveiledere.<br />
Den primære målgruppen er industrivernledere<br />
og andre med ansvar<br />
for øvelser. Ledergruppen i en<br />
virksomhet kan også ha nytte av<br />
kurset. Sted: Heggedal, Asker<br />
19.–21. september<br />
20.–22. mars 2018<br />
30. okt.–1. nov. 2018<br />
Vil du lære mer? Les <strong>Sikkerhet</strong>!<br />
Brannvern <strong>nr</strong>. 2 – <strong>2017</strong><br />
Førstehjelp <strong>nr</strong>. 2 – 2016<br />
Førsteinnsats <strong>nr</strong>. 4 – 2015<br />
Innsatsledelse <strong>nr</strong>. 3 – 2016<br />
Organisering <strong>nr</strong>. 1 – 2015<br />
Planverk <strong>nr</strong>. 1 – <strong>2017</strong><br />
Restverdiredning <strong>nr</strong>. 4 – 2016<br />
Samarbeid <strong>nr</strong>. 1 – 2016<br />
Utstyr <strong>nr</strong>. 2 – 2015<br />
Øvelser <strong>nr</strong>. 3 – 2015<br />
nso.no/bladet-sikkerhet<br />
Tema: Erfaringer<br />
«We do not learn from experience<br />
– we learn from reflecting<br />
on experience.» – John<br />
Dewey<br />
Både etter øvelser og reelle<br />
hend elser vil det å kunne dra<br />
lærdom av disse erfaring ene<br />
være med på å skape et dynamisk<br />
og robust industri vern.<br />
• Hvordan kan vi evaluere<br />
øvelser og hendelser slik at<br />
vi lærer mest mulig?<br />
• Hva har vi lært av hendelser<br />
og hva kan andre industrivern<br />
lære av oss?<br />
• Hvordan sørger vi for at<br />
erfaringen ikke forsvinner<br />
når «ildsjelene» slutter eller<br />
pensjonerer seg?<br />
Annonser/utgivelsesplan<br />
Bestilling/levering av annonser:<br />
Ingeborg Altern på epost<br />
annonse@nso.no.<br />
nummer og tema<br />
frister:<br />
bestille<br />
/ levere<br />
4/17 Erfaringer 6.11 /<br />
13.11<br />
1/18 22.01 /<br />
29.01<br />
2 09.04 /<br />
16.04<br />
3 13.08 /<br />
20.08<br />
4 29.10 /<br />
05.11<br />
hos<br />
leserne<br />
uke 49<br />
uke 9/10<br />
uke<br />
20/21<br />
uke<br />
39/40<br />
uke<br />
49/50<br />
Se priser og annen informasjon:<br />
nso.no/bladet-sikkerhet/for-annonsorer<br />
<strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong> 59
Illustrasjon: Niels Poulsen<br />
Den skumle teknologien<br />
Digitalisering har vært og er en skummel greie for<br />
mange. Jeg husker fortsatt små episoder fra tiden<br />
da datamaskiner med tekstbehandling gjorde sitt<br />
inntog for alvor (og jeg er ikke 100 år). Noen brukte<br />
korrekturlakk på skjermen, andre var så redde<br />
for at det de hadde skrevet skulle gå tapt at de fortløpende<br />
tok foto av skjermbildet. Og da brukte de<br />
ikke funksjonen «print screen», men de tok bilde<br />
med kamera. Det var også knyttet stor spenning til<br />
hvordan det hele tok seg ut når teksten ble skrevet<br />
ut, spesielt for de som startet å bruke datamaskin<br />
med programvaren Word Perfect.<br />
Mye har skjedd siden den gang, selv om det ikke<br />
er en mannsalder siden. Spørsmålet er om kompetansen<br />
har gått fremover i samme tempo.<br />
Digital graffiti<br />
Det mangler nok mye på sikkerhetsbevisstheten og<br />
forståelsen av helhetlig informasjonssikkerhet. La<br />
meg illustrere det med et par korte historier.<br />
For noen år siden ble flere norske nettsider «defaced»,<br />
det vil si når hackere tar seg inn på serveren<br />
og endrer forsiden på hjemmesiden – såkalt<br />
«digital graffiti». Forsiden ble endret til et bilde av<br />
en gris malt i det norske flagg. Dagbladet var én<br />
av dem som ble rammet, og det ble også en fiskeforedlingsbedrift<br />
i Lofoten. Denne bedriften hadde<br />
forsiden i over en uke. Årsak: «Han som kunne<br />
data var på ferie». Konsekvens: Ingen bestillinger<br />
i perioden defacingen varte, siden dette gikk via<br />
hjemmesiden.<br />
Manglende bakgrunnssjekk<br />
Et annet eksempel var en bedrift som hadde «gjort<br />
alt» for å beskytte sine ideer og patenter, inkludert<br />
nøye bakgrunnssjekk av de som jobbet i prosjektene.<br />
Likevel kom konkurrenter dem i forkjøpet på<br />
nye produkter. Etter lang tid gikk det opp for dem:<br />
Tegningene måtte jo overlates til de som skulle<br />
«skru sammen» produktene. Der var nemlig ikke<br />
bakgrunnssjekken like god.<br />
Informasjonssikkerhet handler om å finne løsninger<br />
som beskytter enkeltpersoner og virksomheter<br />
i en digital hverdag. Uten god informasjonssikkerhet<br />
kan skadene og tapene bli store. Hvor<br />
mange dager uten internett hadde dere taklet?<br />
Skrevet av Arne R. Simonsen,<br />
seniorrådgiver i Næringslivets <strong>Sikkerhet</strong>sråd<br />
les 60 om <strong>Sikkerhet</strong> <strong>nr</strong>. 3 • <strong>2017</strong><br />
digitalisering