Informasjonssikkerhetsvurderinger hos DSB Karen Lie, DSB 1
DSB skal ha oversikt over anlegg med farlige stoffer Ref Brann- og eksplosjonsvernloven Vi har data om slike anlegg i en database med koordinater, de kan altså leveres som kartdata 2
Anlegg med farlig stoff Forskrift etter Brann- og eksplosjonsvernloven krever innmelding fra eier for alle anlegg med brannfarlig og giftig gass, stoff og væske over visse minstekvanta, dessuten gassrørledninger på land. Hittil er over 8200 anlegg meldt inn.
Eksplosivanlegg Anlegg med eksplosiv vare, som sprengstoff, krutt, tennmidler, ammunisjon og pyroteknisk vare, herunder fyrverkeri. Ca 800 anlegg 4
Storulykkeanlegg Anlegg som faller inn under Forskrift om tiltak for å forebygge og begrense skadevirkningene av storulykker i virksomheter der farlige kjemikalier forekommer Ca 320 anlegg 5
Hvem har interesse av slike data? DSB for å ha oversikt over farlig stoff i Norge, og for å gjøre vurderinger når nye anlegg skal bygges. Brannvesen og brannalarmsentraler. Når det er brann, utgjør anleggene fare for mannskapenes sikkerhet og kan føre til kraftig utvikling av brannen. Andre beredskapsetater og forsvaret Arealplanleggere og byggesaksbehandlere. DSB ønsker en fornuftig arealbruk og bygging nær slike anlegg. 6
Bruk i arealplanlegging og byggesaksbehandling DSB ser at bebyggelse kan krype inn på anlegg med farlig stoff og eksplosiver, fordi man ikke har bevissthet rundt faren knyttet til anlegget. Risiko ved uhell kan være brann, eksplosjon eller gassutslipp. 7
Vi har hatt mange diskusjoner internt rundt infosikkerhet og disse dataene Hva er fornuftig? Hvilket lovverk måtte vi ta hensyn til? Hvilke vurderinger gjør vi i forhold til dette lovverket? 8
Lovverk Sikkerhetsloven: Gir hjemmel for å beskytte informasjon av hensyn til rikets sikkerhet og vitale nasjonale sikkerhetsinteresser. Offentleglova: Unntak bl.a. der innsyn i opplysninger kan lette gjennomføring av straffbare handlinger ( 24) Beskyttelsesinstruksen: (gjelder statsforvaltningen) Hjemmel til skjerming av informasjon dersom offentliggjøring vil kunne skade offentlige interesser, en bedrift, institusjon eller enkeltperson. Personopplysninger 9
Verdivurdering Vi gjennomførte en verdivurdering som grunnlag for vår avgjørelse om skjerming eller åpenhet. I denne sammenhengen er en verdivurdering en slags ROS-analyse for informasjon. Hva kan gå galt hvis man publiserer? Hva kan gå galt hvis man ikke publiserer? Altså: Tenk før du publiserer. 10
Vår verdivurdering Vår vurdering var at dataene våre ikke faller inn under sikkerhetsloven, heller ikke sammenstilt med andre data Vår viktigste vurdering var i forhold til offentleglova: Kan offentliggjøring av opplysningene lette gjennomføring av straffbare handlinger? På den andre siden: Hvilken risiko kan det medføre å holde tilbake opplysningene? Kan offentliggjøring være med på å forebygge risiko? Er informasjonen allerede åpen i andre sammenhenger? 11
Hovedkonklusjoner farlig stoffanlegg Det er større risiko for ulykker ved at anleggene ikke er kjent, enn at de er kjent. Kjent av utvalgte brukergrupper. De fleste anleggene er lett synlige, tyveri er lite aktuelt, de er ikke godt egnet som terrorredskaper. Sakspapirer er ikke unntatt offentlighet. 12
Tilgjengelighet av kartdata farlig stoffanlegg Online tilgang Vi har en internettløsning med tilgang til deler av databasen og digitale kart. Brannvesen, brannalarmsentraler, fylkesmenn og kommuner kan få brukernavn og passord med tilgang for eget distrikt Data for nedlasting Vi har ikke kartdata på Norge digitalts nedlastingsløsning, men vi sender ut data til de samme brukergruppene pluss andre beredskapsetater på forespørsel De får beskjed om at dataene ikke kan legges ut på kartløsninger på internett, men på intranettet med tilgang for beredskap og plan og byggesak. 13
Hovedkonklusjoner eksplosivanlegg Større utfordringer ved disse Faren for tyveri fra lagrene gjør at sakspapirer behandles som unntatt offentlighet. Samtidig er det svært viktig at anleggene er kjent for beredskapsetater og i arealplanlegging. 14
Tilgjengelighet av kartdata eksplosivanlegg Disse dataene ligger IKKE på internettløsningen sammen med farlig stoff-dataene. Vi har ikke kartdata på Norge digitalts nedlastingsløsning, men vi sender ut data til de samme brukergruppene som for farlig stoff på forespørsel De får beskjed om at dataene ikke kan legges ut på kartløsninger, verken på internett eller intranett. I kommunene skal bare beredskapsfolk og plan- og byggesaksfolk med behov få tilgang til dataene. Storulykkeanleggene må behandles på samme måte, fordi noen av dem er eksplosivanlegg 15
Gjennomførbart i planbehandling? Forhold rundt enkeltanlegg kan vises i offentlige prosesser Men ikke alle anlegg i kommunen Det er aktuelt med hensynssoner rundt noen av anleggene, og dette vil vise hvor det er noe. Men ikke inneholde opplysninger om stofftyper og mengder. Vi vurderte å ikke ta med stofftyper og mengder i kartdataene en periode, og be om at folk spurte oss hvis de trengte å vite det. Men disse opplysningene er viktige for nesten alle vurderinger rundt anleggene. 16
Hvilken vei går DSB? Avdelingen for Næringsliv, produkter og farlige stoffer mener at vi har valgt riktig vei. De tror kanskje at vi også kommer til å åpne opp mer for data om eksplosivanlegg, hvis vi ikke får erfaringer som tilsier noe annet. Men andre i DSB mener vi er for liberale. Vi har i hvert fall høy bevissthet rundt de valgene vi gjør. 17
Oppsummering Bevisste valg rundt publisering av datasett der man er i tvil. Både risiko ved publisering og ved ikke-publisering må vurderes. Tilgang kan begrenses etter need-to-know-prinsippet Hvem har behov for dataene? Hvor mye egenskapsinformasjon trenger de? Hvilke arealer trenger de data for? Grad av begrensning kan også vurderes 18