Nytt utpressingsfenomen

F 4 2011 Næringslivets sikkerhetsorganisasjon Næringslivets Sikkerhetsråd Nytt utpressingsfenomen Ketil Larsen Sækingstad har fått kjenne tiger-kidnapping på kroppen. Les hans utrolige historie og andre artikler i anledning Sikkerhetskonferansen 2011. m8 Foto: Karoline K. Åbyholm m 24 m 16 Kom med innpill til forskriften! Øver dere? m 28 Sivilforsvaret 75 år

Fagseminar 2011 Som grevinnen og hovmesteren sier vi, Same procedure as every year: Beredskapsinteresserte samles på Rica Park Hotel i Sandefjord første uka i desember for faglig påfyll, presentasjon av aktuelt materiell og sosialt samvær. Program og betingelser kommer i neste Sikkerhet og på nso.no, men førstehjelp, brannvern og denne gangen ny forskrift, blir garantert en del av innholdet. Sett av dagene og forbered din jobbreise 6. og 7. desember: Da er du i Sandefjord!

Innhold Nr 4 2011 Årgang 57 ISSN 0805-6080 Organ for Næringslivets sikkerhetsorganisasjon og Næringslivets Sikkerhetsråd Besøksadresse: Essendrops gt 3, Majorstua, Oslo Postboks 5468 Majorstua, 0305 Oslo. Tlf.: 23 08 85 30 e-post: sikkerhet@nso.no www.nso.no/bladet_sikkerhet Utgiver: Konst. redaktør: Harald Bergmann «Sikkerhet» innestår ikke for det faglige innhold i signerte artikler. Redaksjonen ble avsluttet 15. august. «Sikkerhet» nr. 5 2011 kommer i uke 43. Innlegg må være redak sjonen i hende senest 3. november. Utgivelsesplan på nest siste side. Abonnement: Kr. 350/år. Tilleggsab. medlemmer: kr. 175/år. Annonser: Arne Gustafson Grafisk Freelance Tlf.: 69 27 01 88 / 93 02 67 37 e-post: agustaf@online.no NSO2010 Føresegnene i åndsverklova gjeld for materialet i Sikkerhet. Utan særskild avtale med NSO er all eksemplarframstilling og tilgjengeliggjering berre tillate så langt det har heimel i lov eller avtale med Kopinor, interesseorganisasjonen for rettshavarar til åndsverk. Artikler 8 Tiger-kidnapping til Norge? 9 Velkommen til høsten og Sikkerhetskonferansen! 10 Konsumentprodukter i bedriften 11 Ullen trussel 12 När staten är kriminell 13 Rektrutteringssikkerhet i Statoil 14 Dyr spionasje 16 «Sociale» utfordringer 18 Fra detaljkrav til funksjonskrav hva mener du? 19 Risikovurdering er nøkkelen 20 Savner balanse mellom myndighetskrav og egenpålagte krav 21 Økt sikkerhet med ny forskrift 21 Motiverende med beredskap etter behov 22 Imponerende industrivern 28 75 år med Sivilforsvaret Faste spalter 4 På den sikre siden 6 Smånytt 24 i NSO-fokus 25 Spørrespalten 31 Aktivitetskalenderen Hjertevakten as Hjertestarter Nedre Gjerde 10, 5474 Løfallstrand.Tel:53 48 20 50 Fax:53 48 20 60 E-post:hlr.post@hjertevakten.no Hjertestartere følger Norske retningslinjer Helkropps- redningsdukke med realistisk vekt De robuste Tuff Kelly modellene veier det samme som en voksen person, og er meget velegnet til bruk i forskjellige opplæringsscenarier for å lære rednings - og evakueringsteknikker. kr. 20. 110,- Heartstart Pris: 15 500,- kr. 14 900,- Ideelle for hjemmet, kontorlandskap og hotell Dette er verdens mest solgte starter! Heartstart FRx Pris: 18.900,- kr. 16 900,- Den ideelle hjertestarteren for skipsfarten, i svømmehaller, produksjonslokaler og andre steder med stor fuktighet. Heartstart FR3 Erstatter FR2, spesielt godt egnet til ambulansetjeneste og brannvesenet. Denne starteren tåler mye. Klar for levering i 4.kvartal NY Pris basis kr. 19 500,- med EKG kr. 27 500,- Veggskap Pris kr. 2 356,- AED veggskap, basis modell. Skapet er med alarm. Passer til alle hjertestartere Dukker for realistisk livredningstrening Resusci Anne std. i koffert kr. 8.262,- m/skillguide, helkropp kr. 11.036,- m/skillrapporter, torso kr. 21.144,- Res. Anne Simulator kr. 63.864,- Lille Anne kr. 1.621,- 4 pakning kr. 5.727,- MiniAnne kr. 330,- Komplett personlig, effektiv opplæringspakken som inneholder: En MiniAnne øvingsdukke En instruksjons DVD En repetisjons folder En papp telefon Renseduk og ekstra lunger Pusteduk for trening 1 rull kr. 127,50 1 pk. à 6 ruller kr. 618,- Fullstendig oversikt finner dere på: www.hjertevakten.no alle priser er oppgitt eks mva www.nso.no SIKKERHET nr. 4 2011 3

På den sikre siden Alltid beredt Karoline K. Åbyholm REDAKTØR Man kan aldri være 100 prosent forberedt hele tiden. Bomben og massakren i Oslo og på Utøya 22. juli er eksempeler på dette. Ingen kunne forutse omfanget av hendelsene og ingen kan heller vite hva konsekvensene blir i årene fremover. 77 mennesker måtte bøte med livet og flere ble skadet. For ikke å snakke om alle som ble psykisk rammet av tragedien. Politi, brannvesen og helsepersonell jobbet i dagene og ukene etter på spreng for å begrense skadene, og gjorde en heltemodig og god innsats. Sammen med politikere og resten av Norges befolkning gjør de fortsatt sitt beste for å stå sammen i den vanskelige tiden. Når det virkelig smeller, er man avhengig av at alle vet hva de skal gjøre og faktisk gjør jobben sin. Er det noe 22. juli har vist oss, er det at samhold og beredskap er to viktige faktorer når katastrofen er et faktum. Politiets Sikkerhetstjeneste (PST) har i etterkant av hendelsen fått pepper for å ikke ha fattet mistanke mot den siktedes bevegelser på Internett. Dagens Næringsliv skriver at PST nå jobber med å finne ut hvordan den siktede kunne operere «under radaren». 22. juli viser oss at dersom en enkeltperson ønsker å gå ubemerket hen med skumle hensikter, er ikke dette umulig dersom man er «Er det noe 22. juli har vist oss, er at det samhold og beredskap er to viktige faktorer når katastrofen er et faktum» oppmerksom på de digitale sporene man legger igjen. Men dersom det er større, tydeligere og flere aktører det er snakk om, er dette straks vanskeligere. I takt med antall mennesker med bredbånd-kabel inn i huset, vil nok også antall forsøk på datakriminalitet, svindel og forsøk på ulovligheter øke. Datakriminelle og svindlere vil alltid ta i bruk virkemidler for å skjule sin aktivitet. For å bekjempe terror, kriminalitet og svindel er det viktig å lære om mulige risikoer og fallgruver. Vi må først og fremst erkjenne at slike hendelser kan skje. På den måten er vi bedre forberedt når det virkelig smeller. Eksperter på samfunnssikkerhet og krisekommunikasjon Per Inge Hjertaker Partner per.hjertaker@headvisor.com Tlf. 917 29 682 w w w. h e a d v i s o r. n o Hans-Petter Fagerli Partner petter@headvisor.no Tlf. 902 00 900 4 SIKKERHET nr. 4 2011 www.nso.no

BEREDT? Farlig støy Årlig får Arbeidstilsynet nesten 2.000 meldinger om arbeidstakere som har fått støyskadd hørsel. Mange blir først meldt etter flere tiår, men det er også nyoppståtte skader her. Antallet har ligget stabilt siden 1990-tallet. Dagens støygrenser ble foreslått av en ekspertgruppe i 1978. De vurderte datidas tekniske muligheter, støynivået i bransjene og kostnadene ved støyreduksjon, og satte maksimumsgrensa til 85 desibel. Det tilsvarer støy som er så sterk at du må heve stemmen for å snakke til andre på kloss hold. 4.000 per ansatt De anslo at det ville koste 4.000 kroner per ansatt å innføre de nye grensene over en femårsperiode. Det ble vurdert som realistisk for det aller meste av arbeidslivet, med unntak for 3-4 prosent av industriarbeiderne. Disse måtte beskyttes med personlig hørselvern, jobbrotasjon og kortere arbeidstid. Hvorfor sier ikke bare 4 prosent, men 16 prosent av de industriansatte tretti år seinere at de er utsatt for sterk støy det meste av arbeidstida? Lite kartlegging Arbeidsgiver skal vurdere risikoen for støyskader i bedriften. Det hjelper lite hvis de ikke kan noe om det, og derfor heller ikke vet hva de skal spørre om. Få støyutsatte bedrifter har regelmessig kartlegging og reduksjon av støynivået over tid, slik reglene sier de skal. I stedet får de ansatte propper og klokker, og alt dreier seg om at de må bli «flinkere» til å bruke dem. Men typevalget er tilfeldig, og det er sjelden individuell tilpasning eller opplæring i bruk. Dermed gir vernet bare falsk trygghet. Uten støykunnskap i bedriftene, vil ikke tallet på støyskader gå ned. Artikkelen er publisert på www.arbeidstilsynet.no NISIK - din totalleverandør av: Opplæring og øvelser Materiell Rådgivning ROS Vi har gode erfaringer med å gjennomføre kurs og andre aktiviteter ute hos kunden NOEN AV KURSENE VI TILBYR: Grunnopplæring 24 timer mannskap 26-28. september, Jæren 12-14. desember, Jæren 20-22. februar 2012, Jæren Utvidet Sanitet. 24-25. oktober, Sunnhordland 30. november og 1. desember, Jæren Orden og Sikring 15. november, Jæren Røykdykking grunnkurs og repetisjon og andre bedriftsinterne kurs på forespørsel. Besøk oss gjerne på www.nisik.no for info og terminliste TLF. TORE 915 10 223 - KJELL 480 39 023 www.nso.no SIKKERHET nr. 4 2011 5

Smånytt Ny kodelås fra Fibex AS Fibex AS lanserer kodelåsen A04, en kodelås for innen- og utendørsmontasje i robust metallkapsling. Låsen er lett å programmere med kun fire funksjonsknapper på fronten. Kodelåsen har innebygd høyttaler som gir lydindikering ved tastetrykk under programmeringen. Releet er meget solid, og går ikke an å påvirke med vibrasjoner eller magnet. Armbånd kan gi tryggere evakuering Evacuaid PRO har kommet med en nytt nødarmbånd for raskere og tryggere evakuering. Man tar armbåndet på for å aktivere det, og man kan deretter finne veien ut ved hjelp av LED-lampene på armbåndet. Da har man begge hendene fri til å hjelpe andre eller utføre andre oppgaver. Hvis brukeren blir slått ut blir alarmen automatisk utløst. Foto: Fibex AS Unge menn mest skadeutsatte Menn i alderen 15-24 år skader seg dobbelt så ofte som menn over 45 år. Det viser tall fra Arbeidskraftundersøkelsen som SSB gjennomførte i 2007, skriver Regelhjelp. no. I juni inviterte Arbeidstilsynet og Fondet for regionale verneombud i bygge- og anleggsbransjen til konferanser om unge arbeidstakere. Det ble presentert forsknings- og erfaringsbasert kunnskap om unge arbeidstakere i bransjen det er størst risiko for å bli skadet nemlig bygge- og anleggsbransjen. Foto: Evacuaid Se demonstrasjonsvideo og les mer om produktet på www.evacuaid.com. Norsk Skog i gang etter brann Et anlegg ved Norske Skog Saugbrugs AS i Halden har vært delvis nede etter en brann i februar. I slutten av juni startet de full produksjon igjen. 2. februar ble det termomekaniske masseanlegget, som forsyner papirmaskinene ved Norske Skog Saugbrugs, skadet i brann. All produksjon ved fabrikken ble stanset som følge av brannen. Trygghet i lomma! For 17 kroner er hjelpen et tastetrykk unna! Trygghetsapplikasjonen «Redningsselskapet» er nå tilgjenglig både for Apple iphone og andre smarttelefoner. Med denne kan du finne posisjonen din dersom du får motorstopp på sjøen, og på kartet kan du se hvor nærmeste aktive redningsskøyte er. Applikasjonen har blitt utrolig populær. Vi gjør dette for å senke terskelen for å ta kontakt med Redningsselskapet dersom man kommer i vansker i sjøen. Samtidig gir det båtfolket en ny mulighet til å støtte opp om det viktige sjøsikkerhetsarbeidet som redningsskøytene gjør, sier kommunikasjonssjef Ernst Larsen i Redningsselskapet. I denne bygningen brant det i februar i år, men i juni startet Norske Skog Saugbrugs full produksjon. Bildet er tatt under oppryddingen i slutten av februar. Foto: Karoline K. Åbyholm 6 SIKKERHET nr. 4 2011 www.nso.no

Smånytt Bedrifter kan droppe kodebrikken Nå er det slutt på kodebrikker og kostbare autentiseringsløsninger for bedrifter som vil gi de ansatte systemtilgang uten å gå på kompromiss med sikkerheten. Buypass Code er en norskutviklet løsning som ved hjelp av en egen mobilapp gir sikker autentisering av brukeren. Løsningen er den første i sitt slag i det norske markedet, og støtter alle typer mobiltelefoner. Appen lastes ned gratis og er knyttet opp mot en bedriftsspesifikk løsning. Ved hjelp av appen mottar brukeren en engangskode på mobilen for sikker autentisering ved pålogging. Store besparelser Vi ser at mange bedrifter i dag bruker store ressurser på å opprettholde det nødvendige sikkerhetsnivået knyttet til autentisering mot egne systemer. Vi har utviklet en løsning som vil gi store besparelser i håndteringen av autentiseringsområdet, samtidig som sikkerheten er ivaretatt på høyeste nivå, sier Gunnar Lindstøl, administrerende direktør i Buypass. Buypass er leverandør av ID- og e-signaturtjenester til ID-porten, og leverer markedets ledende smartkortløsning til blant annet Norsk Tipping. For mer informasjon se www.buypass.no. En ny mobilapp fra Buypass kan erstatte kodebrikker. Foto: Buypass Nødvendig utbygging av nødnettet Utbygging av Nødnett er en nødvendig investering for å styrke beredskapen og samfunnssikkerheten vesentlig. Det skriver Direktoratet for samfunnssikkerhet (DSB) i en pressemelding 12. juni i følge redningsnett.no. God investering Nødnett fungerte for brannvesenene og 110-sentralene da Telenors nett var nede i starten av juni. Nødnett er en god investering for fremtiden, og har ved flere anledninger gjennomført innsatser med omfattende bruk av mobiltelefoni. Derfor er Stortingets vedtak om å innføre Nødnett over hele landet historisk viktig, sier avdelingsleder Hans Kristian Madsen i DSB. Bedre systemer Han mener det langvarige utfallet av Telenors mobilnett viser hvor sentralt det er å få på plass et kommunikasjonsnett som fungerer uavhengig av mobilnettet. Samfunnssikkerhet og beredskap kan ikke bygges på så stor grad av usikkerhet, det trengs mer robuste systemer og flere ben og stå på. Nødnett vil bidra til å berge liv og helse, og det øker sikkerheten for innsatsmannskaper betydelig, sier Madsen. Nytt håndholdt termisk kamera Presisjons Teknikk AS lanserer nå et håndholdt termisk kamera som kan detektere en person på nærmere 2,5 km i dårlig sikt og mørke. FLIR BHS er en helt ny serie termiske kameraer, spesielt utviklet for å lokalisere og finne personer m.m. under alle lys- og værforhold på avstander helt opp til 2.450 meter. Kameraene kan leveres i forskjellige utgaver tilpasset ulike bruksområder, som for eksempel politi og vektertje- Begge foto: Presisjons Teknikk AS nester, eller til bruk innen forsvaret. FLIR BHS er vanntett, veier under 1 kg, har lang batteritid og kan lagre bilder og video på SD-kort. Det er derfor velegnet i alle situasjoner av overvåking eller søk og redning ved dårlig sikt. Ytterligere informasjon fås ved å kontakte Presisjons Teknikk AS: www.ptnordic.no / post@ptnordic.no. www.nso.no SIKKERHET nr. 4 2011 7

Sikkerhetskonferansen 2011 Tiger-kidnapping til Norge? Når man håndterer verdier av et stort omfang vil man alltid være et attraktivt mål for kriminelle. Av: Ketil Larsen Sækingstad, Risk/Security Manager i Loomis Norge AS Som tidligere politimann og narkotika etterforsker fikk jeg og min familie føle hvordan det oppleves å være utsatt for en reell trussel og hvordan en slik hendelse påvirker hverdagen til en familie. Situasjonen var anspent og i løpet av en periode på rundt to år hadde vi flere dekkadresser både i og utenfor Norge. Vi har hatt vakthold av politi både inne og utenfor egen bolig, politieskorte til skole, barnehage og arbeidssted. Etter å ha solgt boligen vår og flyttet til et nytt sted med hemmelig adresse og telefon, måtte vi ta et valg. Er det slik vi ønsker å leve? Et liv i det skjulte hvor vi hele tiden måtte se oss over skulderen? For meg som bare hadde gjort jobben min føltes det veldig urettferdig at min familie og meg selv måtte leve et slikt liv, i konstant frykt og redsel. «For meg som bare hadde gjort jobben min føltes det veldig urettferdig at min familie og meg selv måtte leve et slikt liv, i konstant frykt og redsel.» Måtte slippe taket Ketil Larsen Sækingstad Vi bestemte oss for å leve, og med å leve mente vi «etter våre egne prinsipper». Vi ville ikke leve i frykt lenger. Vi måtte slippe taket og sette pris på hverdagen igjen. Fra den dagen har vi levd et godt liv igjen, men har selvfølgelig tatt noen forhåndsregler. Jeg har ofte stilt meg spørsmålet om hvorfor dette skjedde Ketil Larsen Sækingstad, Risk/Security Manager i Loomis Norge AS. Ketil har utdanning både fra forsvaret og politiet. Han har mange års erfaring både fra Oslo politidistrikt, Kripos og Moskenes og Flakstad lensmannskontor. akkurat med meg. Hva var det med denne saken som var så spesiell og kunne den saken jeg hadde ha blitt løst på en annen måte, slik at dette ikke hadde skjedd? Attraktivt mål I dag jobber jeg som Risk/Security Manager i Loomis Norge AS. Vi leverer kontanthåndteringstjenester gjennom våre verditransporter og tellesentraler som er spredt rundt om i hele landet. Vår tjeneste er hovedsakelig rettet mot banker, detaljhandelskjeder og frittstående butikker hvor vi tilbyr våre kunder en sikker og effektiv håndtering av all fysisk kontantstrøm i deres virksomhet. Loomis Norge AS er en del av konsernet Loomis AB som har rundt 20.000 ansatte fordelt i 15 europeiske land, samt i USA. Som en del av et større konsern får vi kunnskap om og høster erfaringer fra hva som skjer i andre land, så også innenfor temaet «tiger-kidnapping». Når vi håndterer verdier av det omfang vi gjør vil vi alltid være et attraktivt mål for kriminelle. Loomis AB som konsern gjennomfører en egen opplæring etter samme mal i alle land hvor de er representert, og som Risk/Security Manager for Loomis Norge AS er det jeg som har dette ansvaret i Norge. Basert på min egen erfaring samt de erfaringer jeg har tilegnet meg gjennom den kunnskap som finnes i konsernet har interessen for forebygging av slike hendelser for meg vært svært høy. «Tiger-kidnapping» Tiger-kidnapping er en form for kriminalitet vi sjelden snakker om i det norske næringslivet. For oss i Norge kan det synes som dette er et noe «ukjent» fenomen, mens andre steder TIGER-KIDNAPPING Tigernapping, som det også benevnes, innebærer at familiemedlemmer eller pårørende blir kidnappet mens en i familien blir presset til å overføre penger/ta ut penger fra egen kapital eller virksomhetens ressurser. Dette er noe som skjer i flere europeiske land, og den senere tiden har vi sett tendensen til at det er internasjonale aktører bak Tigernapping ikke bare respektive nasjonale kriminelle. Det øker risikoen for at noe slikt kan skje i Norge snart. Kilde: NSR 8 SIKKERHET nr. 4 2011 www.nsr-org.no

Sikkerhetskonferansen 2011 «Andre virksomheter som ikke tradisjonelt sitter på kontanter, men på attraktive og lettomsettlige varer eller bedriftshemmeligheter er nå også blitt et attraktivt mål for tigerkidnapping.» i Europa utgjør dette daglig en alvorlig trussel mot næringslivet. Internasjonalt er det banksektoren som har vært det primære målet for tiger-kidnapping, årsaken til dette er at det er disse som normalt har sittet på de største kontantbeholdningene. Ikke skap «myke mål» Ketil Larsen Sækingstad Trendanalyser viser at det også er andre næringer som sitter på større kontantbeholdninger og dermed blir mer attraktive mål, så også Loomis Norge AS. Andre virksomheter som ikke tradisjonelt sitter på kontanter, men på attraktive og lettomsettlige varer eller bedriftshemmeligheter er nå også blitt et attraktivt mål. En annen utsatt målgruppe er de som utfører og har tilganger til elektroniske transaksjoner. For næringslivet blir hovedoppgaven å forebygge og organisere sin virksomhet på en slik måte at man ikke selv «skaper myke og attraktive mål». Hvis ikke kan virksomheten fort ende opp med å ha egne ansatte som blir sittende igjen som et «unødvendig» offer, bare fordi de gjorde jobben sin. Velkommen til høsten og Sikkerhetskonferansen! Av: Erland Løkken, direktør i NSR 22. juli setter muligheten til å gå på jobb i et nytt og takknemlig perspektiv og bør styrke motivasjonen til å forebygge kriminalitet i alt sitt vesen. 22. julikommisjonens arbeid vil bli viktig for samfunnets fremtidige forsvar mot og reaksjon på slike hendelser, men allerede nå kan hver og en av oss gjøre vår egen evaluering. Årvåkenhet, bevissthet knyttet til hvem som er på jobb og ikke, plan for hvordan man skal reagere når en ulykke eller kriminell hendelser inntreffer, er blant de faktorene som enhver virksomhet bør vurdere i etterkant. Husk også at det som ikke har skjedd ennå, men som kan skje vil skje en gang. Muligens skal ikke alle være forberedt på å møte noe tilsvarende 22. juli. En slik forberedelse kan fort medføre et samfunn med mye frykt og varsomhet, men vi må la tankene streife innom slike scenarioer også. Etablering i utlandet På sikkerhetskonferansen søker vi å være i forkant. Fremleggelsen av KRISINO 2011 vil fortelle om det som har skjedd, men resultatene kan også ekstrapoleres i forutsigbar fremtid. Mange av foredragene vil dreie seg om erfaringer som er gjort, og slik kan de uerfarne komme i forkant av fremtidens hendelser. Vi har også laget «Veileder for vurdering av sikkerhetsrisiko ved etablering i utlandet». Den er utarbeidet av et av våre utvalg basert på erfaringer fra norsk næringsliv i utlandet. Kultur og kriminalitet, og ikke minst forholdet til andres verdier og gjenstander, kan volde utfordringer. Likeså krav om eller behov for væpnede vakter. Daglig kriminalitet Etter ferien strømmer det på med henvendelser om useriøse nettkataloger og fakturabedragerier. Vi kan også lese om personer som har forsøkt å få godkjent vitnemål fra falske studiesteder. Næringslivet står daglig overfor mye kriminalitet, og det å beskytte seg på et område gir ingen sikkerhet på et annet. Vi må være bevisste trusselen på alle områder, hele tiden. Jeg håper alle finner nytte i årets sikkerhetskonferanse og det arbeidet Næringslivets Sikkerhetsråd gjør. Vi ønsker å være fremtidsskuende i alle retninger. www.nsr-org.no SIKKERHET nr. 4 2011 9

Sikkerhetskonferansen 2011 Konsumentprodukter i bedriften Vi går mot en fremtid hvor skillet mellom forbrukerteknologi og bedriftsteknologi viskes ut. Av: Ole Tom Seierstad, Chief Security Advisor i Microsoft Norge AS For å få utført et stykke arbeid har man typisk samlet mennesker på en arbeidsplass i en spesifikk periode for å få utført en oppgave. Historisk har dette vært det eneste valget for bedrifter og arbeidstakere. Utvikling det siste tiåret har endret mye av dette. Behovet for å være fysisk tilstede i en gitt arbeidstid for å utføre jobben har ved hjelp av teknologi blitt mye mindre for mange arbeidsgrupper. Teknologien har også skapt helt andre måter å jobbe og kommunisere på. Jobb og privat Sentralt i disse endringene har vært utbredelsen av internett og bredbånd samt utviklingen av mindre, kraftigere og mer brukervennlig datautstyr. De senere årene også nettbrett og smarttelefoner fått en stor utbredelse i bedriftsmarkedet. Dette samme med nettskybaserte løsninger har gjort deling og samarbeid mer tilgjengelig. Flere av disse tjenestene er i utgangspunktet laget for et «Teknologien har skapt helt andre måter å jobbe og kommunisere på, uavhengig av geografi og tidssoner.» Ole Tom Seierstad Ole Tom Seierstad har jobbet i Microsoft siden 1990 og har hatt flere ulike roller. De siste årene har han fokusert på sikkerhet og problemstillinger rundt dette. Dette arbeidet inkluderer de fleste Microsoft-produkter og også kontakt mot de ulike segmentene som bruker Microsoft programvare. forbrukermarked, men har blitt tatt i utstrakt bruk av bedrifter. Som brukere har vi omfavnet mange av disse tjenestene og produktene i privat sammenheng: deling av dokumenter med venner, delte arbeidsflater for idrettslaget og telefoni via Skype til kjente over hele verden. Vi har blitt vant til at informasjonen er tilgjengelig til enhver tid på den enheten vi foretrekker å bruke. Det forventes at den samme tilgangen på informasjon og verktøy skal være tilgjengelig også i en arbeidssituasjon. Nødvendig sikkerhetsnivå Vi går mot en fremtid hvor skillet mellom forbrukerteknologi og bedriftsteknologi viskes ut. Dette setter nye krav til IT-avdelingen som skal håndtere bedriftens infrastruktur, «Vi har blitt vant til at informasjonen er tilgjengelig til enhver tid på den enheten vi foretrekker å bruke.» Ole Tom Seierstad beskytte informasjon og holde et sikkerhetsnivå som er nødvendig for at bedriften skal kunne levere de varer eller tjenester de lever av. Mange av de samme utfordringene gjelder også ansattes bruk av sosiale nettsteder (i og utenfor arbeidstid). Kan disse tjenestene brukes som en kanal til å nå kunder og partnere, eller er det en risiko for informasjonslekkasje? Utfordringer For å få en smidig og fleksibel bruk av IT-systemer er følgende nødvendige tiltak: Risiko- og sårbarhetsanalyse. Bedriften må gjennomføre en ana- 10 SIKKERHET nr. 4 2011 www.nsr-org.no

Sikkerhetskonferansen 2011 Ullen trussel lyse for å finne ut hva som skal være tilgjengelig for brukere og på hvilken type enhet Identitets- og tilgangskontroll. Regler for hvem i en organisasjon som skal ha tilgang til ulik type informasjon er helt nødvendig å ha på plass. Tjenestens sikkerhetsnivå. Som en del av risiko og sårbarhetsanalysen bør det også vurderes hvilket sikkerhetsnivå de ulike sosiale nettverkene har, og utarbeide rutiner for hva som skal deles eller lagres på disse tjenestene. Klientens sikkerhetsnivå. Når bedriften skal håndtere flere ulike enheter bør det være et krav at disse har en viss grad av beskyttelse mot ondsinnet programvare og gjerne også kryptering, selv om det er private enheter som benyttes. Beskyttelse av informasjon. Det kan være ulike nivå på tilgangskontroll og ulik grad av kryptering både ved lokal lagring og for dokumenter som skal sendes i for eksempel e-post. Regler som de ansatte forstår og respekterer og med IT-støttesystemer som sørger for at regelbrudd ikke forekommer, vil også en aktiv bruk av sosiale nettsteder kunne bli en ressurs for bedriften for å nå ut til sine kunder. Ved å ta en gjennomgang av systemene og sørge for at informasjonen i bedriften er beskyttet og klassifisert vil en kunne utnytte disse trendene med mer fornøyde brukere og ikke minst en mye mer fleksibel arbeidssituasjon. Av: Bjørn Frang, daglig leder i Global Advice Network Norway Misligheter og korrupsjon er begreper som delvis overlapper hverandre, men er ikke synonyme. Misligheter er ofte benyttet som generell beskrivelse, og korrupsjon kan være noe av hensikten. Korrupsjon er en bestikkelse for å oppnå fordeler for seg selv, firmaet eller organisasjonen man arbeider i. Strengere regler Tidligere fikk man fradrag på skatten hvis man hadde begått bestikkelser i utlandet i forbindelse med firmaets oppgaver. Nå er dette svært straffbart og vil være en stor belastning på firmaets omdømme. Etter innføring av de nye reglene har vi sett at enkelte firmaer opprettet egne pengehåndteringssentraler i skatteparadis. Hensikten med dette var å gjøre overgangen fra bestikkelseskultur til renvasking mykere det vil si man fortsatte med agentprovisjoner fra skatteparadiset. I flere tilfeller har det vist seg at de som var satt til å bestyre disse midlene, selv forsynte seg grovt. Lederne har et ansvar Det bør være en generell målsetning i samfunnet å redusere tilfeller av misligheter og korrupsjon, og samtidig utvikle et trygt fellesskap. «Bare ved å sette fokus på temaet vil man redusere det latente tapet.» Bjørn Frang Lederne i bedriftene tror at hvis det hender noe kan de enten kjøpe seg nødvendig ekspertise, eller melde saken til myndighetene. Som leder og styremedlem har man ansvar for å fokusere, begrense og bearbeide slike saker. Hvis man lykkes i å implementere temaet misligheter og korrupsjon som en del av firmaets etikk og Bjørn Frang er daglig leder i Global Advice Network Norway AS. Bjørn har i over 16 år jobbet i politiet, men har vært i privat sektor i mer enn 20 år. Han har holdt et stort antall kurs i svindelens og korrupsjonens effekt for virksomhetsledere i Skandinavia. personalmessig opplæring, vil mye være oppnådd. Da vennes man til å snakke om alminnelige menneskelige svake tendenser som finnes overalt. Tendensen kommer til uttrykk hvis et individ tror det kan gjennomføre en gjerning for å skaffe seg eller andre en uberettiget vinning risikofritt. Åpenhet kan motivere De fleste produksjonsbedrifter i et moderne samfunn definerer omfanget av misligheter, korrupsjon og svinn til å ligge mellom 2 og 5 prosent av omsetningen. Det er flere organisasjoner i verden som opererer med denne størrelsesorden, og i de tilfellene der jeg selv har vært med å ta opp dette til vurdering kommer man fram til de samme tallene. Kunnskap og ansvar Bare ved å sette fokus på temaet vil man redusere det latente tapet. Hvis man skal gjøre en bra jobb som leder eller styremedlem, er det viktig å ha kunnskap om at dette også er en del av ansvaret. Målrettede øvelser, work-shops og annen jevnlig kommunikasjon om temaene er en forutsetning for å lykkes med anti misligheter- og korrupsjonsarbeidet. Er omfanget ikke målt vil det etter all sannsynlighet ikke bli fokusert på. Er omfanget målt så godt man kan, vil det også bli hyppigere omtalt i flere sammenhenger, og få en bedre preventiv effekt enn det som er tilfellet i dag. www.nsr-org.no SIKKERHET nr. 4 2011 11

Sikkerhetskonferansen 2011 När staten är kriminell Berlinmurens fall och det sovjetiska väldets sammanbrott markerade inledningen för en ny fas i global organiserad brottslighet. Av: Stefan Hedlund, professor ved Centre for Russian and Eurasian Studies, Uppsala University Kanske minst uppmärksammat var att «traditionell» organiserad brottslighet plötsligt gavs möjligheter till penningtvätt i en tidigare oanad omfattning. Ett växande samarbete mellan colombianska drogkarteller och siciliansk maffia hade skapat så stora behov av att tvätta svarta pengar vita att traditionella kanaler inte längre räckte till. Omvandlingen av det gamla «östblocket» erbjöd här helt nya möjligheter. Omfattande program för privatisering av statlig egendom kombinerades med öppna gränser, fria kapitalrörelser, och oreglerade finansmarknader. Resultatet blev ett verkligt Eldorado där rättsvårdande myndigheter antingen stod handfallna eller valde att göra gemensam sak med brottslingarna. Nya möjligheter Samtidigt ledde Sovjetunionens sammanbrott också till helt nya möjligheter för medlemmar av det som tidigare varit landets undre värld. Ryska brottssyndikat etablerades i främst USA, och det med sådan framgång att den dåvarande chefen för FBI vid mitten av 1990-talet varnade för ett allvarligt hot mot USA en «clear and present danger». Begreppet «rysk mafia» kom naturligt nog att bli till ett favorittema för underhållningsindustrin. Den grova organiserade brottslighet som här växte fram var dock på intet vis etniskt knuten till just ryssar. Snarare är det så, att mycket av den mer våldsrelaterade beskydds- Stefan Hedlund er professor i øststatsforskning ved Uppsala universitet. Han er også dosent i nasjonaløkonomi, har fulgt utviklingen i Russlands siden slutten av Leonid Brezjnevs tid ved makten, og har vært fremtrednende i media. Hans forskning har under senere tid vært fokusert på spørsmål rundt de russiske økonomiske reformer og problemer vedrørende «transformasjonen» till markedsøkonomi. Hans vitenskaplige publikasjoner omfatter mer enn 20 bøker, rindt 200 artikler i tidskrifter av ulike slag, og drøyt 300 anmeldelser og debattartikler. verksamheten har sina rötter i Kaukasus. Givet Ryssland storlek, och de omfattande kapitalflöden som genererats av den ryska energiexporten, är det dock naturligt att just den ryska ekonomin har kommit att placeras i fokus. Marknedsekonomi Den i särklass viktigaste konsekvensen av det sovjetiska systemets sönderfall var att den «marknadsekonomi» som nu växte fram skulle komma att utmärkas av en ohelig allians mellan politiker, byråkrater och brottslingar. Under de första åren efter «systemskiftet» bar denna utveckling tydliga drag av en dålig gangsterfilm. Beskyddsverksamhet, kontraktmord och eldstrider på öppen gata var vanligt förekommande. Snart nog kom dock utvecklingen att länkas in i en mindre våldsam men samtidigt också mera systemhotande fas, vars mest utmärkande kännetecken har varit att staten utgör en väsentlig del av snarare än en motpart till den organiserade brottsligheten. Försöken att skapa en rättsligt reglerad marknadsekonomi ställdes mot ett tungt arv från det sovjetiska systemet, där vardagen krävt att man utvecklade färdigheter i att kringgå regler, att fuska och betala «Under de första åren efter «systemskiftet» bar denna utveckling tydliga drag av en dålig gangsterfilm.» Stefan Hedlund mutor, och att skapa nätverk av kontakter som kunde erbjuda beskydd. Ekonomiska aktörer upplevde en obefintlig tilltro till att staten skulle kunna vara till hjälp. Historiska skillnader i rättslig och politisk tradition har gjort det lättare för en del av de f.d. öststaterna att skaka av sig detta arv. I det ryska fallet har försöken att hävda äganderätt och kontrakt givit tydliga prov på hur svårt det kan vara att bryta invanda historiska mönster. 12 SIKKERHET nr. 4 2011 www.nsr-org.no

Sikkerhetskonferansen 2011 Rekrutteringssikkerhet i Statoil I rekruttering er vårt fremste mål alltid å ansette rett person i rett stilling. Dette krever svar på to enkle spørsmål. Stora risker Att bedriva affärsverksamhet i denna miljö skulle för många utländska företag komma att bli till en stor utmaning. Samtidigt som potentiella vinster har varit betydande, har även riskerna varit stora. För många mindre företag har det rört sig om krav på betalning för beskydd, och om ständigt trassel i relation till myndigheter som krävt mutor. Betydligt viktigare är dock att även internationella storföretag, alltifrån oljejättar som BP och Shell till svenska IKEA och norska Telenor har fått uppleva hur det ryska rättsväsendet fungerar, och att inte ens kontakter på allra högsta nivå kan ge någon form av garanti eller säkerhet. «Rättsnihilism» Problemets kärna ligger i vad Rysslands president Dmitrii Medvedev brukar kalla för «rättsnihilism», att tjänstemän inte upplever någon skyldighet att följa lagen. Konsekvensen har blivit vad som ibland kallas en «kultur av ostraffbarhet», nämligen att avtal kan brytas och att brott kan begås utan att det leder till rättsliga konsekvenser. Det finns ett gammalt ryskt talesätt som säger att «fisken ruttnar från huvudet nedåt». Om det är så, att roten till det onda ligger i att staten varken har ambition eller kanske ens förmåga att hävda rätten, då är det bäddat för precis den typ av skandaler som har kommit att utmärka ekonomisk rapportering från Ryssland. Av: Tone Rognstad, Statoil Rekruttering i Statoil er både grundig og tidkrevende, og slik skal det også være. Gjennom rekrutteringen garanterer vi for en relasjon mellom Statoil og den ansatte som i mange tilfeller vil strekke seg over flere tiår. Da er det viktig å ikke komme skjevt ut. Vi vet at det kan ta inntil et år før selv en kompetent nyansatt leverer for fullt i sin nye stilling. Hvis arbeidsgiveren først etter ansettelsen avdekker at den nyansatte ikke har den forventede kompetansen, har bedriften tapt mange penger. I tillegg kommer risikoen for sikkerheten og miljøet hvis vi ansetter noen som ikke har den kompetansen stillingen krever. Da blir det viktig at vi som rekrutterere gjør en skikkelig jobb. Ett av de to viktige spørsmålene vi må finne svar på, er: Har kandidaten den kompetansen han sier at han har? Tillitsforhold Det kan kanskje være fristende å gjøre karakteren C til en A i håp om å klatre litt høyere i søknadsbunken. Men et arbeidsforhold er først og fremst et tillitsforhold mellom arbeidstakeren og arbeidsgiveren. Da er det avgjørende at vi ikke ansetter bedragere. For la oss være ærlige: Det er bedrag vi snakker om. I den ene enden av skalaen finner vi et pyntet eksamensresultat, men i den andre enden har kandidaten kjøpt hele vitnemålet fra et fiktivt universitet på nettet. Den negative risikoen for bedriften øker selvsagt med omfanget av bedraget. www.nsr-org.no Tone Rognstad er Vice president i Corporate human resources i Statoil med ansvar for rekruttering og profilering. Hun har tidligere jobbet i GE money med ansvar for blant annet Quality, Operations, Risk sigma og Marketing. Hun er utdannet ved BI, Bank og finans. Like alvorlig som spørsmålet om hva kandidaten kan, er spørsmålet om identitet: Er kandidaten den han sier han er? Vi skal ikke være paranoide, men vi må heller ikke være naive. Vi trenger å vite med størst mulig sikkerhet at vi ikke ansetter personer som oppgir falsk identitet. Grundige rutiner Løsningen på begge disse utfordringene er meget grundige rutiner for å kontrollere identiteten og kompetansen til dem vi ansetter. Statoil er en bedrift i endring. Etter hvert som en større del av veksten kommer fra operasjoner utenfor Norges grenser, vil en økende andel av rekrutteringen finne sted langt «hjemmefra». Da blir det viktig at vi har en felles forståelse av hva som er SIKKERHET nr. 4 2011 13

Sikkerhetskonferansen 2011 Dyr spionasje Sikkerhet koster penger, men spørsmålet er om vi har råd til å ikke beskytte oss. Av: Ronald Barø, Politiets sikkerhetstjeneste Det kan være fristende å gjøre karakteren C til en A i håp om å klarte litt høyere i søknadsbunken. Foto: Karoline K. Åbyholm/NSO «Vi vil aldri kunne avdekke alle mulige forsøk på juks.» Tone Rognstad viktig i rekrutteringsprosessen, enten vi sitter i Harstad eller i Houston. Våre globale retningslinjer inneholder både anbefalinger og ufravikelige krav, det som på engelsk kalles non-negotiables. Ufravikelig er for eksempel kravet om at vi skal forsikre oss om identiteten og den faglige kompetansen til hver enkelt person som ansettes i selskapet. Vi vil aldri kunne avdekke alle mulige forsøk på juks. Men vi må i alle fall gjøre det vi kan for å oppdage uregelmessigheter. Og vi må være enige om hva som er de viktige spørsmålene. Ulovlig etterretningsvirksomhet er enhver aktivitet med sikte på å skaffe informasjon om politiske, militære, teknologiske eller andre viktige samfunnsmessige forhold og som kan være til skade for landets sikkerhet, interesser og selvstendighet. Som ulovlig etterretningsvirksomhet regnes også industrispionasje utført av en annen stat ved hjelp av denne statens etterretningstjenester. Industrispionasje som foregår mellom konkurrerende firmaer og bedrifter med kommersielle målsettinger, er en oppgave for det ordinære politi. Grensegangen her kan imidlertid være uklar. Ofte vil ikke aktørens tilhørighet være kjent, og om den ulovlige etterretningen da er et ansvar for Politiets sikkerhetstjeneste (PST) eller politiet vil være vanskelig å fastslå. Høy aktivitet Etterretningsaktiviteten mot norske interesser er høy. Veldig mange norske virksomheter utsettes for ulovlig etterretning daglig, og de potensielle tapene kan være store. Denne type kriminalitet anmeldes sjeldent. Ettersom ulovlig etterretning foregår fordekt, er mange virksomheter sannsynligvis utsatt for denne type kriminalitet uten å vite om det. De fleste stater har en etterretningstjeneste. I mange land er næringslivsspionasje et statlig anliggende, og nasjonalstaten bruker sine ressurser på å skaffe seg informasjon som er formålstjenelig for eget lands næringsliv. Flere staters etterretningstjenester er aktive i Norge, og disse etterretningstjenestene rår over store ressurser og et bredt spekter av metoder. Ronald Barø jobber til daglig i Politiets sikkerhetstjeneste som sikkerhetsrådgiver. I tillegg til jobben som sikkerhetsrådgiver er han i ferd med å fullføre en mastergrad i Security and Risk Management ved University of Leicester i England. Fra tidligere har han har lang og variert operativ bakgrunn fra forsvaret, både nasjonalt og internasjonalt. Ronald har også jobbet i Det Norske Veritas, både som organisasjonsutvikler og som forsker innenfor fagfeltet security. Varierende metoder Etterretningsmetodene som blir brukt varierer, og noen er svært avanserte. Flere staters etterretningstjenester har avlyttingskapasitet i Norge. Datanettverksoperasjoner har blitt brukt i forsøk på å skaffe skjermingsverdig informasjon fra norske offentlige og private aktører. Den ulovlige etterretningsvirksomheten er særlig rettet mot norsk forsvars- og sikkerhetspolitikk, olje- og gassektoren, forskningsinstitusjoner samt høyteknologivirksomheter. 14 SIKKERHET nr. 4 2011 www.nsr-org.no

Sikkerhetskonferansen 2011 Mye av informasjonsinnsamlingen foregår ved hjelp av IKT, men også metoder som sosial manipulering, bruk av åpne kilder, avlytting, rekruttering av ansatte, eller bevisst plassering av medarbeidere i virksomheter er aktuelle metoder. Viktig å være proaktive «Mange virksomheter sannsynligvis utsatt for denne type kriminalitet uten å vite om det.» Ronald Barø Det er viktig at norske virksomheter er proaktive i møte med utfordringer som følger med ny teknologi. Mange virksomheter utstyrer de ansatte med ulike kommunikasjonsplattformer som smartphones og nettbrett, og skillet mellom teknologi for jobbog privat bruk viskes ut. Dette stiller større krav til både arbeidsgivere og arbeidstakere med tanke på sikkerhet. En virksomhets behov for informasjonssikring kan lett komme i konflikt med fritidsbruk av utlevert IKT-utstyr. For aktører som bedriver ulovlig etterretning er dette en gunstig situasjon. Kartlegging av ansattes privatliv og virksomhetens informasjonssystemer gir en aktør med ondsinnede hensikter mange muligheter, og øker virksomheters sårbarheter. Det er viktig at virksomheter har et bevisst forhold til denne problemstillingen. Informasjon har blitt mye lettere tilgjengelig og flyttbart i store mengder enn for bare få år siden. Få arbeidsgivere reagerer på at ansatte tar med seg et elektronisk lagringsmedium inn og ut av arbeidsplassen, men alle arbeidsgivere vil reagere dersom en ansatt tar med seg en pall med dokumenter ut fra virksomheten. Sikringstiltak Innenfor «security» er trenden å legge stor vekt på teknologiske sikringstiltak. De fleste sikkerhetssystemer er utviklet for å hindre at ikkeautoriserte personer får tilgang til våre verdier, men svært ofte er disse systemene konstruert for å hindre ekstern tilgang på våre systemer. Som i «safety», krever alle systemer at menneskene som er satt til å forvalte dem faktisk følger gjeldende prosedyrer. For å motivere ansatte til å følge disse reglene er det viktig at de ansatte forstår hvorfor disse retningslinjene og prosedyrene er viktige, og de potensielle konsekvensene sikkerhetsbrudd kan ha. Sosial manipulering I etterretningsverdenen brukes sosial manipulering for å innhente informasjon under en tilsynelatende normal og uskyldig samtale. De som er satt til å innhente informasjon, er godt trent til å dra nytte av faglige eller sosiale sammenhenger for å komme i kontakt med personer som har tilgang til gradert eller annen skjermingsverdig informasjon. Slike møter vil oppleves som en normal sosial eller faglig samtale og kan ta plass hvor som helst. Men det er en samtale med en intensjon om å samle informasjon om arbeidet ditt, eller for å samle informasjon om deg eller dine kolleger. For utenlandske etterretningsorganisasjoner, er bruk av sosial manipulering en teknikk som medfører lav risiko for innhenteren. Etterretningsvirksomhet Etterretningsvirksomhet er målrettet og styrt innsamling og analyse av informasjon som innsamleren anser som relevante for å dekke sitt informasjonsbehov. Etterretningsvirksomhet er i utgangspunktet lovlig så lenge den består i å hente informasjon fra åpent tilgjengelige kilder; internett, media, offentlig tilgjengelige dokumenter, arkiver og lignende. Denne teknikken fungerer godt, og gjennom slik innsamling av informasjon kan gjerningsmannen samle, bekrefte eller utvide sin kunnskap om et sensitivt prosjekt eller annen beskyttelsesverdig aktivitet. Videre kan gjerningsmannen få bedre innsikt i en persons potensial eller mottakelighet for rekruttering eller søke å påvirke beslutningsprosesser i en virksomhet. Sikkerhetstrategi For å beskytte seg mot ulovlig etterretning er det viktig at virksomheter etablerer en helhetlig sikkerhetsstrategi som adresserer både teknologisk, organisatorisk og menneskelige sikkerhetstiltak, og ikke minst hvordan disse tre dimensjonene underbygger hverandre. Sikkerhet koster penger, men spørsmålet er om vi har råd til å ikke beskytte oss. Det er det bare den enkelte virksomhet som kan svare på, og da etter en god verdibasert risikoanalyse. www.nsr-org.no SIKKERHET nr. 4 2011 15

Sikkerhetskonferansen 2011 «Sociale» utfordringer Hvordan kan en angriper spasere rett inn på serverrommet uten å bli lagt merke til? Av: Christian Jacobsen, konsulent Secode Norge AS Social engineering er en hel verktøykasse av metoder for å få tilgang til informasjon eller områder, hvor det menneskelige aspektet av sikkerheten ligger i fokus. Gjennom flere års arbeid med social engineering, har Secode bygget seg opp en unik kompetanse og erfaring på hvordan angripere tenker, hvordan brukere lar seg lure og hvordan bedrifter best kan beskytte seg. Social engineering utfordrer flere sider av vår vanlige måte å ta avgjørelser på, hvor angriperens hovedfokus er å skape tillit og trygghet, for deretter å utnytte situasjonen for å få tilgang til data eller lokasjoner. Phishing, og spear phishing i særdeleshet, er eksempler på hvordan social engineering benyttes i målrettede angrep. Terrorbilder på Facebook Rundt 90 prosent av alle falske antivirusangrep involverer metoder fra social engineering. Også i Norge dukker det opp angrep som benyttes seg av social engineering, nå sist i form av et omfattende «likejacking»- angrep i kjølvannet av terrorhandlingene i Oslo og på Utøya. Facebook-brukere ble lurt til å klikke på linker, som få timer etter arrestasjonen av gjerningsmannen, kunne love videoer fra åstedene. Det sier seg selv at folks nysgjerrighet og behov for informasjon vinner over kritisk sans, og linkene ble spredd som ild i tørt gress. Christian Jacobsen arbeider som konsulent og sikkerhetstester i Secode, og har siden 2009 vært fagansvarlig for Secodes satsning på social engineering. Han leder årlig flere store social engineering-tester for kunder både i Norge og utlandet, og har vært pådriver for å skape en av de mest komplette og relevante metodelistene for social engineering. Christian startet i Secode i 2008, og har bakgrunn innen sosiologi og informatikk, samt mer enn ti års erfaring fra Telenor. Foruten social engineering arbeider Christian hovedsakelig med risiko- og sårbarhetsanalyser. Avanserte angrep Effekten av social engineering blir tydeligere om man begynner å se på resultatene av målrettet phishing, som gjerne kalles spear phishing. Ved å kombinere grundig teknisk innsikt og metoder fra social engineering, kan man skape avanserte angrep som er svært vanskelig å beskytte seg mot. Et unntak fra dette Social engineering Sosial manipulering (social engineering) går ut på å skaffe seg tilgang ved å lure noen. Sosial manipulering er en helt annerledes måte å angripe datasystemene på, og sjarm er kanskje den viktigste egenskapen for en hacker. var i august i fjor, da en finansmann fra Stavanger i siste liten klarte å avsløre et omfattende angrep mot seg selv. Denne svindelen er det motsatte av primitive Nigeria-brev. Her har godt skolerte folk med god innsikt i teknologi lagt ned masse ressurser på å lage den perfekte svindel, sa finansmannen til Dagens Næringsliv i etterkant. «Tailgating» Da Secode gjennomførte en test for et større norsk konsern nylig, valgte vi å gjenskape et kjent phishingscenario, hvor vi sender en e-post til tilfeldig valgte brukere. E-posten inneholdt en enkel usammenhengende, dårlig forfattet setning og en lenke til en ukjent og eksekverbar fil, på en ukjent webserver. E-posten inneholdt ingenting som skulle gi de ansatte tillit til avsender eller innhold. I løpet av få timer hadde 26 prosent av de ansatte lastet ned og eksekvert filen, 50 prosent av de ansatte hadde klikket på lenken. Når vi i andre tester gjør en større jobb med å skape troverdighet og tillit, økes 16 SIKKERHET nr. 4 2011 www.nsr-org.no

Sikkerhetskonferansen 2011 «Rundt 90 prosent av alle falske antivirusangrep involverer metoder fra social engineering.» Christian Jacobsen Sosial manipulering er sannsynligvis den mest brukte metoden for hacking. Foto: Flickr.com også resultatene til at vi oppnår 100 prosent treff på for eksempel høsting av passord via telefon. Ved å benytte tailgating (følge etter personer med gyldig adgang) kan man forholdsvis enkelt få tilgang til kontornett, hvor en keylogger kan installeres. Eller man kan ringe support og be dem om å videresende ledergruppens e-post til en tilstrekkelig troverdig adresse. Tilpassede angrep Social engineering som angrepsvektor er fleksibelt og kan tilpasses situasjonene fortløpende, svært ofte krever et vellykket angrep veldig lite forkunnskap om offeret, og ettersom angrepene går mot de ansatte selv, er deteksjonsraten svært liten. Konsekvensene for de som blir angrepet kan være betydelige og langvarige. Hvor mye tillit skal og bør en sikkerhetsansvarlig da legge i tekniske sikkerhetsmekanismer som brannmurer og skallsikring av lokasjoner alene, om ansatte slipper angripere rett inn i sikker sone eller gir fra seg passord på telefonen? Gjennom flere tester som vi selv har gjennomført, og etterforskning i kjølvannet av ekte angrep, viser det seg at troverdige scenarioer kan få svært mange ansatte, uansett sted i organisasjonshierarkiet, til å bryte egen sikkerhetspolicy. Mens tradisjonelle sikkerhetsmekanismer gjør en utmerket jobb med å avdekke tekniske angrep, er det opplæring, testing og holdningsskapende arbeid som må legges til grunn for å sikre seg mot social engineering kombinert selvfølgelig med ordinære sikkerhetsmekanismer som IDS og patch management. www.nsr-org.no SIKKERHET nr. 4 2011 17

Beredskapsforskriften Beredskapsforskriften på høring: Fra detaljkrav til funksjonskrav hva mener du? Nå kan du si hva du mener! Avdelingsdirektør Torill Tandberg og sjefingeniør Gunnar Wold, DSB, håper høringen vil gi gode innspill til ny forskrift om egenberedskap i virksomheter. Foto: H. Bergmann Av: Karoline Kathrine Åbyholm, NSO Torill Tandberg er avdelingsdirektør for Næringsliv, produkter og farlige stoffer i DSB. Sammen med Gunnar Wold og Kåre Løvdahl har hun samarbeidet tett med NSO i utviklingen av forslag til ny forskrift om egenberedskap i virksomheter. Arbeidet har jo tatt litt tid, men det viktig å ha god kondisjon og utholdenhet i denne typen arbeid! Jeg vil fremheve det gode samarbeidet DSB og NSO har hatt i denne prosessen. Her har de to etatene utfylt hverandre på en særdeles god måte, sier hun. Viktig med tilbakemeldinger Forskriften ligger nå ute på DSB sine nettsider, og Tandberg forteller at hun er svært spent på hvilke tilbakemeldinger som kommer. Jeg tror vi landet veldig greit når det gjelder forskriftens virkeområde, men det er viktig at de som har gode innspill til dette gir oss tilbakemeldinger. Det er også viktig å få tilbakemeldinger på om de kravene som stilles i forskriften er forståelige. Hvordan vil arbeidet med forskriften bli fremover? Nå er forskriften sendt på offentlig høring med høringsfrist 17. oktober, og den er sendt direkte til flere høringsinstanser. I god tid før hørings- fristen går ut vil det bli invitert til et åpent møte i Oslo der NSO og DSB vil redegjøre for forskriftsforslaget til de som måtte ønske det. Trer i kraft i 2012 Etter 17. oktober vil arbeidsgruppen bestående av NSO og DSB vurdere de innkomne høringskommentarene. Da må de vurdere noen av forskriftsbestemmelsene må endres, tydeliggjøres eller strykes. Når denne jobben er gjort vil vi oversende den endelige forskriften til Justis- og politidepartementet og anmode dem om at DSB kan fastsette den nye forskriften. Det er lagt opp til at den nye forskriften skal tre i kraft 1. januar 2012, sier Tandberg. 18 SIKKERHET nr. 4 2011 www.nso.no

Beredskapsforskriften Risikovurdering er nøkkelen I Sikkerhet nr. 2/2011 omtalte vi arbeidet med nye forskriften. ikke endret, men framstilt på en annen måte enn i gjeldende forskrift. Ved bruk av den næringskoden som virksomhetene er registrert med i Brønnøysundregistrene, vil man lett kunne sjekke om man er omfattet. Kan dere peke på noe som er nytt? Ny forskrift inneholder så godt som ingen detaljkrav. Den regulerer hva man ønsker å oppnå, men sier ikke hvordan. Når det gjelder øvelser kan det være greit å merke seg at det er krav om regelmessighet. Av: Karoline Kathrine Åbyholm, NSO Hva er det som er nytt i den nye forskriften? I den nye forskriften er det lagt større vekt på resultatet av risikovurderingene. Gjennom risikovurderingen skal virksomhetene komme fram til et sett av uønskede hendelser som skal være grunnlaget for organiseringen, dimensjoneringen og vedlikeholdet av egenberedskapen. Videre er begrepet «industrivern» erstattet med «egenberedskap», og det som heter industrivernleder i dag, kalles beredskapsleder i ny forskrift. Sikkerhet har spurt spesialrådgiver Bjørn Egil Jacobsen og juridisk rådgiver Inger Hanne Bye litt om hva den nye forskriften vil innebære. Det er de to som har jobbet med forslaget til ny beredskapsforskrift for industrien fra NSOs administrasjon. Vil de samme beredskapsklassene eksistere? Nei, dagens fire beredskapsklasser blir erstattet med to beredskapsnivåer. Ut fra bedriftenes risikovurdering skal de selv komme fram til hvilket nivå de tilhører. NSO vil selvsagt hjelpe de bedriftene som er usikre på dette. Må øve regelmessig Hva er videreført fra det gamle regelverket? Virkeområdet for forskriften er Hva skal bedriftene selv gjøre? Virksomhetene må selv melde fra til NSO om at de kommer inn under forskriften, de må registrere seg. Denne meldeplikten får ingen konsekvenser for de som er industrivernpliktige i dag. For disse virksomhetene vil nødvendig informasjon bli innhentet med industrivernrapporten. Mer på nettet Kan bedriftene selv være med på å påvirke og si sin mening om forskriften? Ja. På www.nso.no ligger det lenke til alle høringsdokumentene, også oversikten over hvem som har fått forskriften på høring. Innspill kan bedriftene gi via en av dem som har fått forskriften på høring. Hvorfor kommer det egentlig en ny forskrift, er den ikke bra den som er? Forskrift og retningslinjer for industrivern oppleves som gammeldags, og er ikke tilpasset moderne krav til HMS-regelverk. www.nso.no SIKKERHET nr. 4 2011 19

Beredskapsforskriften Savner balanse mellom myndighetskrav og egenpålagte krav Industrivernleder Jo Minken mener at myndighetene må diskutere akseptkriterier og minimumsstandarder med bedriftene. Foto: H. Bergmann Jo Minken er industrivernleder ved Dynea AS på Lillestrøm. Han har mange års erfaring som leder for selskapets beredskap, både operativt og administrativt. Minken har både positive tilbakemeldinger og kritiske kommentarer til forslaget til ny forskrift om egenberedskap. - Slik jeg leser forskriften vil beredskapskravene heretter i større grad settes av bedriftens risikoanalyse, for eksempel innenfor opplæring og øvelser, der det tidligere var konkrete krav og retningslinjer, sier han. - Beredskap skal være risikostyrt etter min mening, men det bør alltid være en balanse mellom forskriftskrav og vurderte, egenpålagte krav. Jeg syns dette er litt ute av balanse i den nye forskriften. For mye er opp til egen analyse. Krevende analyser - Hvorfor bør de konkrete kravene være tydligere? - Gode risiko- og beredskapsanalyser er krevende. Jeg mener de lett kan bli subjektive dersom det ikke er god styring med arbeidet. Resultatene av slike analyser kan være veldig kostnadsdrivende for en bedrift, og det kan i et kortsiktig perspektiv være lønnsomhet å manipulere risikovurderingene for å spare noe på beredskapssiden. Dersom konkurranseutsatt industri settes under kraftig økonomisk press, vil det på et eller annet tidspunkt være en avveining om man skal ansette noen til å produsere varer, eller å styrke beredskapen. Når det ikke foreligger entydige klare krav, vil dette være et stort diskusjonstema i fremtiden. - Hvordan kombinere entydige myndighetskrav med lokal tilpasning? - Det er i stor grad opp til bedriften selv å sette akseptkriterier for risikoanalysen. Bedrifter med forskjellige akseptkriterier vil derfor være uenige om hva som er en god beredskap. Jeg tror den nye forskriften vil kreve at NSO og DSB er med på å diskutere akseptkriterier og minimumsstandarder med bedriftene, hevder Minken. Jeg er likevel glad for at det i større grad enn før åpnes for vurderinger via risiko- og beredskapsanalyser. Det er forskjell på en bedrift som ligger alene i et lite lokalsamfunn og en bedrift som kan få full assistanse med 8 10 utrykningskjøretøyer i løpet av 3 5 minutter. Utydelig innslagspunkt - Er dette med nærhet til andre ressurser omtalt i forskriften? - Nei, ikke direkte, men dersom en beredskapsanalyse viser at det er fullt ut forsvarlig med en relativt lav beredskap i virksomheten på grunn av at det finnes godt opplærte beredskapsressurser i nærområdet, vil dette være godt nok, slik jeg tolker det. - Andre ting du har merket deg? - Jeg synes innslagspunktet for forskriften er noe utydelig. For meg er det en selvfølge at alle Seveso-bedriftene skulle vært med. Jeg hadde også ønsket at alle aktuelle tilsynsetater stod bak en felles beredskapsforskrift, for å gjøre hverdagen enklere for oss i industrien. - Du er jo beredskapsleder for flere bedrifter på området deres. Hvordan vil den ordningen kunne bli framover? - Vårt industriområde består av solide og seriøse selskaper. Jeg er ganske trygg på at alle har et felles ønske om en meget god beredskap, som vi har i dag. Harald J. Bergmann 20 SIKKERHET nr. 4 2011 www.nso.no