VEILEDER FOR VURDERING AV SIKKERHETSRISIKO VED ETABLERING I UTLANDET

2011 VEILEDER FOR VURDERING AV SIKKERHETSRISIKO VED ETABLERING I UTLANDET

NÆRINGSLIVETS SIKKERHETSRÅD Næringslivets Sikkerhetsråd (NSR) er opprettet av næringslivets sentrale organisasjoner med formål å bekjempe kriminalitet i og mot næringslivet. Dette gjøres gjennom et formalisert nettverk mot politi og offentlige sikkerhetsmyndigheter, og mot næringslivet. NSR er organisert som en selvstendig medlemsforening med eget styre, en administrasjon, flere utvalg, regionale representanter, og et konsultativt råd med representanter fra både næringsliv og myndighetene. Gjennom det konsultative rådet blir de utfordringer næringslivet opplever formidlet til myndighetene, og trender og advarsler fra myndighetene gitt til næringslivet. Basert på dette, samt NSRs undersøkelser og utvalg, utarbeides veiledninger, kurs, seminarer og konferanser. Regjeringen har i flere dokumenter de siste årene tatt til orde for et tettere og forsterket samarbeid med NSR. Stifterorganisasjoner Næringslivets Hovedorganisasjon Finansnæringens Fellesorganisasjon HSH Arbeidsgiverforeningen Spekter Norges Rederiforbund/ Den Norske Krigsforsikring for Skib Bedriftsforbundet Representanter i det konsultative rådet Stifterorganisasjoner og næringsliv Politidirektoratet, Kripos og ØKOKRIM Politiets sikkerhetstjeneste Nasjonal Sikkerhetsmyndighet Toll- og avgiftsdirektoratet Direktoratet for samfunnssikkerhet og beredskap LO og YS Medlemsfordeler Direkte rådgivningen, herunder innen: Fakturabedrageri Bakgrunnssjekk Informasjonssikkerhet og datakriminalitet Vold og rus på arbeidsplassen Sikring mot ran ID-tyveri Kidnappingstrusler Utfordringer internasjonalt Gratis foredrag Prioritet og rabatterte priser på alle kurs og konferanser Deltagelse i NSRs utvalg Nettverk via NSRs administrasjon Direkte påvirkning på saker til administrasjonen og det konsultative rådet. NSRs permanente utvalg Ransutvalget Datakrimutvalget (Mørketallsundersøkelsen) Varslingslisten Kriminalitetsutvalget (KRISINO) Kriminalitetsutfordringer internasjonalt NSRs undersøkelser KRISINO (Kriminalitets- og sikkerhetsundersøkelsen i Norge), www.krisino.no Datakriminalitetsundersøkelsen Mørketallsundersøkelsen, www.morketallsundersokelsen.no NSRs kurs og seminarer Sikkerhetskonferansen, www.sikkerhetskonferansen.org Sikringshåndboka Sikret mot ran Verdi- og risikovurdering Temaseminarer Kontaktinformasjon Næringslivets Sikkerhetsråd Postboks 5493 Majorstuen 0305 OSLO nsr@nsr-org.no www.nsr-org.no Innmelding http://www.nsr-org.no/artikler/bli_medlem.htm SIDE 2

INNHOLD 1. Dokumentstruktur og målgrupper... 4 2. Sammendrag... 5 3. Sikkerhetsledelse... 6 4. Sikkerhetsrisiko... 7 5. Elementer i risikovurderingen... 9 5.1 Generelt... 9 5.2 Verdivurdering og skadepotensial... 9 5.3 Trusselvurderingen... 11 5.3.1 Trusselnivået i Norge versus andre land... 11 5.3.2 Trusselaktører og deres metoder... 11 5.3.3 Trusselmatrise... 12 5.3.4 Kilder og tjenesteleverandører... 14 5.4 Sårbarhetsvurderingen... 14 5.4.1 Kjente trusler versus mulige trusler... 14 5.4.2 Fokuset i sårbarhetsvurderingen... 14 5.4.3 Kost-/nyttevurdering av tiltak... 15 6 Risikonivået... 16 6.1 Aksept av risiko og restrisiko... 16 6.2 Risikopersepsjon... 16 6.3 Risikobildet... 16 7 Et helhetlig sikkerhetssystem... 18 SIDE 3

01 DOKUMENTSTRUKTUR OG MÅLGRUPPER Denne veilederen omhandler håndtering av sikkerhetsrisiko ved etablering av foretak i utlandet. Veilederen består av et toppdokument som suppleres av vedlegg som utarbeides suksessivt. Topp-dokumentet tar for seg en helhetlig tilnærming til vurdering av sikkerhetsrisiko i utlandet. Vedleggene på sin side fokuserer på håndtering av ulike typer risiko, dvs konkrete forhold som typisk medfører utfordringer når et foretak skal etablere virksomhet i land med ulik risikoprofil enn i Norge (f eks orienteringer, sjekklister eller prosessbeskrivelser). Store bedrifter og konsern vil ofte ha kompetanse innen sikkerhet som går utover det dokumentene her tar for seg. Dokumentene her retter seg derfor primært til små og mellomstore bedrifter som vurderer å etablere seg eller allerede har virksomhet i utlandet. Det antas imidlertid at også store bedrifter som mangler erfaring fra virksomhet i utlandet, kan få utbytte av å benytte dokumentene inntil erfaringer og kompetanse er bygget opp. Målgruppen for sammendraget i veilederen er øverste ledelse i foretaket. Øvrige deler av veilederen er mest relevant for foretakets sikkerhetsleder og personell med oppgaver innen risikostyring (Risk Management). Vedleggene retter seg primært mot personell med operative oppgaver knyttet til etablering eller håndtering av hendelser som kan påvirke foretaket. For små bedrifter med få ansatte vil imidlertid flere av de nevnte funksjonene gli delvis over i hverandre. Denne veilederen er utarbeidet av NSRs utvalg som arbeider med grenseløse risikoutfordringer, og med særlig stort bidrag fra Carsten Rapp i Norges Bank. Veilederen med vedlegg omhandler de temaene utvalget anser mest relevante og er ikke uttømmende mht hvilke temaer et foretak bør ta hensyn til. Bruken skjer på egen risiko og NSR eller utvalget tar ikke ansvaret for resultatet av at dokumentene benyttes av et foretak. Virksomheter kan søke ytterligere informasjon og veiledning gjennom NSR og utvalget. Figur 1: Oversikt over dokumentstrukturen for veilederen Veileder for vurdering av sikkerhetsrisiko ved etablering i utlandet Vedlegg Vedlegg Vedlegg SIDE 4

02 SAMMENDRAG Denne veilederen omhandler håndtering av sikkerhetsrisiko ved etablering av foretak i utlandet. Hovedmålgruppen for dokumentet er små og mellomstore bedrifter som vurderer å etablere seg eller allerede har virksomhet i utlandet. Mange forhold i Norge som påvirker sikkerhetsrisikoen tas for gitt. Forholdene i andre land vil i varierende grad være annerledes, avhengig av hvilket land det gjelder. Før det etableres virksomhet i utlandet bør det foretas en vurdering av sikkerhetsrisikoen. Etter at etablering er gjort bør vurderingen oppdateres jevnlig. Fokuset på det overordnede risikobildet og styringssystemet for sikkerheten bør ivaretas av sikkerhetsleder i foretaket, og denne bør i viktige sikkerhetssaker kunne rapportere direkte til øverste leder. Utgangspunktet for alle risikomodeller er at risiko betegnes som en funksjon av sannsynligheten for at en hendelse inntreffer og konsekvensene dersom hendelsen inntreffer. Innen security, dvs sikring mot tilsiktede hendelser, benyttes ofte en risikomodell med vurdering av verdier, trusler og sårbarheter forbundet med aktuelle virksomhet. Verdiene er et uttrykk for konsekvensen, mens truslene og sårbarheten er et uttrykk for sannsynligheten. I verdivurderingene identifiseres og klassifiseres ressursene som understøtter forretningsmessige mål og prosesser, for å finne ut hva som er mest beskyttelsesverdig. I trusselvurderingen identifiseres og klassifiseres ulike trusselaktører i landet/farvannet, samt hvilke mål de kan finne attraktivt og metoder de antas å kunne benytte. Deretter fastsettes sikkerhetsnivået for ulike ressurser basert på den risiko som aksepteres av risikoeieren. For allerede etablerte foretak må det også foretas en sårbarhetsvurdering opp i mot akseptnivået for risiko. Hvilke sikkerhetstiltak som skal benyttes avgjøres etter en kost-/nyttevurdering. Sikkerhetstiltakene bør normalt bestå av en kombinasjon av organisatoriske, menneskelige og teknologiske tiltak. Forebyggende sikkerhetstiltak inndeles ofte i barrierer, deteksjon og reaksjon. Sikkerhetstiltakene bør imidlertid også bestå av skadebegrensende tiltak for å redusere skade når en hendelse først inntrer, og gjenopprettende tiltak for å bringe virksomheten tilbake til normal drift igjen. Et godt og helhetlig sikkerhetssystem består av en kombinasjon av og balanse mellom tiltak innen alle disse kategoriene. SIDE 5

03 SIKKERHETSLEDELSE Foretakets øverste leder har ansvaret også for sikkerheten i foretaket. Ansvaret innebærer å sørge for at sikkerhetsrisiko håndteres og allokere ressurser for sikkerhet som står i forhold til risikoen. Ansvaret videre i foretaket følger linjeprinsippet; en mellomleder for et forretningsområde skal også ivareta sikkerheten i eget forretningsområde. Fellesfunksjoner innen sikkerhet, som f eks vakthold i (felles) bygg og informasjonssikkerhet i (felles) systemer, er for å oppnå synergier ofte samlet i felles forvaltningsfunksjoner. I konsern vil det ofte være etablert en overgripende sikkerhetsfunksjon i konsernstaben som ivaretar strategisk nivå for alle selskapene i konsernet. I tillegg er det nødvendig å utpeke en sikkerhetsleder (Chief Security Officer) og/eller informasjonssikkerhetsleder (Chief Information Security Officer), avhengig av foretakets sikkerhetsbehov. Sikkerhetsleder overtar ikke ansvaret som tilligger linjen, men skal ivareta strategisk rådgivning for ledelsen, koordinering på tvers av forretningsområdene, samt fokusere på overordnet risikobilde og styringssystemet for sikkerheten. I større foretak gis sikkerhetsleder ofte en kontrollfunksjon overfor det operative sikkerhetsarbeidet i foretaket. Kontrollfunksjonen kan imidlertid også rendyrkes slik at revisjon og etterlevelseskontroll på øvrige områder også kontrollerer sikkerheten, herunder sikkerhetsleder. Sikkerhetsleder skal iht god praksis kunne rapportere direkte til foretakets øverste leder i viktige saker (for foretak underlagt sikkerhetsloven er det et krav). Ofte er det hensiktsmessig å ha en egen stilling som sikkerhetsleder, fortrinnsvis i stab under ledelsen. I små bedrifter vil imidlertid funksjonen som sikkerhetsleder ofte være en tilleggsfunksjon til en annen stilling med stabsfunksjoner. Også i større bedrifter kan funksjonen være hensiktsmessig å slå sammen med andre funksjoner for å oppnå synergier, f eks felles leder for sikkerhet og etterlevelse ( compliance ) eller HMS (dvs sammenslåing av helse-, og miljø-, safety - og security -ledelse). SIDE 6

04 SIKKERHETSRISIKO Mange forhold i Norge som påvirker sikkerhetsrisikoen tas for gitt. Forholdene i andre land vil i varierende grad være annerledes, avhengig av hvilket land det gjelder. Før det etableres virksomhet i utlandet bør det foretas en vurdering av sikkerhetsrisikoen. Etter at etablering er gjort bør vurderingen oppdateres jevnlig. Gjennomføring av sikkerhetstiltak uten noen form for risikovurdering vil lett føre til at sikkerhetstiltak baseres på ukvalifisert skjønn og tilfeldigheter, og ikke dimensjoneres riktig. I tillegg er det fastsatt krav i en rekke offentlige regler og internasjonale standarder som kan gjelde for virksomheten om at sikkerhetsrisikovurdering skal gjennomføres, f eks i personopplysningsloven og arbeidsmiljøloven. Sikkerhetsrisikovurderinger for virksomhet i utlandet bør inngå som del av en helhetlig vurdering av foretakets risiko. En helhet risikostyring betegnes ofte som Enterprise Risk Management (ERM) og deles gjerne inn i forretningsrisikoen/finansiell risiko ( business/ financial risk ) og operasjonell risiko ( operational risk ). I tillegg er det mange som opererer med omdømmerisiko ( reputational risk ). Sikkerhetselementet inngår da som en del av den operasjonelle risikoen, men vil også være relevant for omdømmerisikoen. Utgangspunktet for alle risikomodeller er at risiko betegnes som en funksjon av sannsynlighet og konsekvens; sannsynligheten for at en hendelse inntreffer og konsekvensene dersom hendelsen inntreffer (risiko = sannsynlighet x konsekvens). I forhold til sikkerhet, må risikoen vurderes både for utilsiktede hendelser som f eks naturkatastrofer og ulykker ( safety ) og tilsiktede hendelser fra menneskelige aktører i den hensikt å påføre skade ( security ). Innen safety er historiske data om frekvensen av identifiserte scenarioer sentralt. Innen security vil statistikk ofte være utilstrekkelig for å uttrykke sannsynligheten for at en hendelse inntreffer. For menneskeskapte hendelser er trusselaktørers intensjon og kapasitet sentralt, samt i hvilken grad prosesser og ressurser er sårbare mot de metodene aktuelle trusselaktører benytter. Både intensjon og kapasitet søkes bevisst skjult av en trusselaktør, og nye metoder for å lykkes og dermed scenarioer er i stadig utvikling. NSRs fokus er tilsiktede hendelser, og er det fremstillingen videre vil fokusere på. I praksis vil imidlertid mange av de samme tiltakene redusere sårbarheter mot både naturskapte og menneskeskapte hendelser. Ved risikovurdering innen security anbefaler NSR at metoden tilpasses nettopp security. Vurderingen blir mer håndgripelig og presis ved å betegne sannsynlighet som avhengig dels av hvilke trusler som retter seg mot foretakets verdier (det som skal beskyttes) og dels av sårbarheten verdiene har mot truslene. Risiko kan da betegnes som en funksjon av verdier, trusler og sårbarheter forbundet med aktuelle virksomhet (risiko = verdier x trusler x sårbarhet, der verdiene er et uttrykk for konsekvensen, mens truslene og sårbarheten er et uttrykk for sannsynligheten). I figur 2 kan risiko forstås som arealet av trekanten der verdier, trusler og sårbarheter møtes. Dersom f eks trusselen øker, dvs trusselhjørnet av figuren trekkes lenger ut, vil arealet i trekanten, dvs risikoen, øke. For å håndtere risikoen, dvs redusere arealet til det opprinnelige, kan man iverksette sikkerhetstiltak slik at sårbarhetshjørnet trekkes lenger inn, og likevekt gjenopprettes. En sikkerhetsrisikovurdering vil ikke alltid alene identifisere alle relevante forhold som sikkerhetstiltak må settes inn mot. En rekke forhold kan være omfattet av samfunnspålagte sikkerhetskrav, dvs krav som gjelder uavhengig av om forholdene er viktige for å nå foretakets forretningsmål alene. Kravene kan gjelde særskilt i landet virksomheten skal utøves i, men kan også være norske, som f eks personopplysningsloven. Dette kan betegnes som etterlevelsesrisiko. SIDE 7

Figur 2: Arealet av trekanten uttrykker risikoen som en funksjon av verdi, trussel og sårbarhet. Dersom trusselen endrer karakter og øker, kan sårbarheten reduseres tilsvarende ved at sikkerhetstiltak innføres, og trekantens areal og dermed risikoen holdes konstant. Trusler Trusler Sårbarhet Verdier Sårbarhet Verdier SIDE 8

05 ELEMENTER I RISIKOVURDERINGEN 5.1 Generelt NSR vil i det følgende gi en forenklet fremstilling av sikkerhetsrisikovurderinger spesielt relevant for virksomhet i utlandet, herunder internasjonale farvann. For en mer dyptgående forståelse for metodikken, henviser vi til mer generelle og autoritative veiledninger og beskrivelser utgitt av Datatilsynet, Nasjonal sikkerhetsmyndighet og Finanstilsynet. 5.2 Verdivurdering og skadepotensial I en verdivurdering bør det først tas utgangspunkt i forretningsmålene med virksomheten som foretaket skal ha i utlandet. Deretter identifiseres de prosesser som understøtter forretningsmålene, og så hvilke ressurser (verdier) som prosessene er avhengig av. Ressursene kan være personer, som f eks nøkkelpersoner i produksjonen. Det kan også være innsatsmidler, som f eks råvarer, elektrisitet, lokaler, maskiner, informasjonsteknologi eller styrings- og kontrollsystemer for fysiske prosesser (såkalte SCADA-systemer). Enkelte steder i utlandet kan et særegent kriminalitetsbilde gjøre at ressurser som normalt ikke anses kritisk for måloppnåelsen, likevel kan rammes på en måte som kan påføre virksomheten stor skade. Eksempler er objekter som kan ha symbolverdi for terrororganisasjoner eller bli mål for voldelige aktivister, samt enkeltansatte i en bedrift som kan bli utsatt for kidnapping, utpressing eller ran. Symbolske objekter kan f eks være topp-ledere, bygg, anlegg og transportmidler som motstanderne identifiserer med foretaket, bransjen i sin helhet eller landet foretaket kommer fra. Selv om fraværet av slike ressurser i liten grad reduserer produksjonen direkte, vil det medføre at foretaket må bruke tid og ressurser på skadebegrensning. Utilstrekkelig håndtering kan i verste fall gå utover liv og helse, omdømmet i markedet eller den hjemlige opinionen. Det kan også være objekter som tilhører andre, f eks ambassadestrøk og offentlige bygninger, som er så nær foretakets egne objekter at man som tredjepart skades av et anslag. Det er derfor viktig ikke å utelukkende fokusere på ressurser som er direkte kritiske for produksjonen, men også identifisere andre mulige mål i eller nær virksomheten som en trusselaktør kan finne attraktivt å ramme. En oversiktlig og praktisk tilnærming er å sette opp matriser over verdiene. Først settes det opp en matrise der skadepotensialet ved ulike typer hendelser relatert til ulike ressurser vurderes. I matrisens ene akse listes de ulike typer skader som kan oppstå og langs den andre aksen ulike typer hendelser. Dette kan ofte utdypes med høy detaljgrad, men mange typer hendelser vil bare være aktuelle for visse typer ressurser. For eksempel er det naturlig å benytte hendelsestyper som tilgjengelighetsbrudd, integritetsbrudd og konfidensialitetsbrudd på informasjon (immateriell ressurs), mens tyveri, skadeverk og rettsstridig overtakelse (på stedet) vil passe bedre på materielle ressurser som lokaler, utstyr og varer. For personer som ressurs kan f eks kidnapping, utpressing og fysisk angrep være aktuelle hendelser. Eksempelet under i figur 3a viser hvordan dette kan benyttes til å vurdere skadepotensialet for strategi og markedsplaner for et tenkt foretak. Etter at vurderinger og matriser som i figur 3a er gjennomført for aktuelle ressurser, kan resultatet samles i en oversikt over alle ressursene. I matrisens ene akse listes de ulike ressursene opp og langs den andre aksen ulik kritikalitet. På den måten blir det enklere å se hvilke typer verdier som er mest kritiske og må prioriteres høyest, samt senere legge seg på et riktig sikkerhetsnivå for de ulike verdikategoriene. Skadepotensial INGEN vil føre til at ressursen anses lite viktig, LAV at det anses VIKTIG, MODERAT at det anses KRITISK og HØY at det anses MEGET KRITISK. Se figur 3b som er et eksempel for et tenkt foretak. SIDE 9

Figur 3a: Matrise for skadepotensial forbundet med en valgt ressurs i et tenkt foretak, her med strategi og markedsplaner (informasjonssikkerhet) som eksempel. Skadepotensial for strategi og markedsplaner Tilgjengelighetsbrudd Integritetsbrudd Konfidensialitetsbrudd Skade på liv og helse Ulempe/skade for samfunnet Redusert ytelse/tjenstenivå Skade på omdømme eller tillit Direkte økonomiske tap Brudd på lovverk Brudd på kontrakt Skade på tredjepart Tap av styring og kontroll Svekket vekst Høyeste konsekvensnivå pr hendelseskategori Høyeste konsekvensnivå totalt INGEN INGEN INGEN INGEN INGEN INGEN INGEN INGEN INGEN LAV MODERAT HØY INGEN INGEN INGEN INGEN INGEN INGEN INGEN INGEN HØY INGEN INGEN MODERAT LAV LAV INGEN INGEN INGEN MODERAT LAV MODERAT HØY HØY Figur 3b: Matrise for verdivurdering av ulike ressurser Type resurs Nivå 1: Lite viktig Nivå 2: Viktig Nivå 3: Kritisk Nivå 4: Meget kritisk Regionalt kontor (lokaler) Strategi og markedsplaner Country Manager Ansatte i administrasjonen Ansatte i produksjonen CRM-systemet Produksjonslokalene Produksjonsutstyr Administrative kjøretøy Driftskjøretøy Varelageret SIDE 10

5.3 Trusselvurderingen 5.3.1Trusselnivået i Norge versus andre land Mens en verdivurdering for et foretaks virksomhet i utlandet ofte vil bli ganske lik verdivurderingen for samme type virksomhet i Norge, vil truslene mot verdiene oftest være meget ulike. Norge har et lavt kriminalitetsnivå sammenlignet med de fleste andre land. At nordmenn er kjent for å være mer naive enn andre, har også en sammenheng med at det i Norge faktisk er mer uvanlig å bli utsatt for kriminalitet enn i andre land. Det er naturlig at man, bevisst eller ubevisst, legger til grunn det hjemlige trusselbildet man er vant med også for utlandet. Det er derfor spesielt viktig at nettopp norske foretak foretar en egen trusselvurdering for det aktuelle landet eller farvannet virksomheten skal operere i. 5.3.2 Trusselaktører og deres metoder Sikkerhetstrusler kan deles inn på flere måter. NSR anbefaler at man tar utgangspunkt i verdivurderingen og så vurderer hvilke aktører som antas å ha intensjon og kapasitet til å ramme de identifiserte verdiene. Aktuelle trusselaktører kan være organiserte vinningskriminelle, andre vinningskriminelle, terrororganisasjoner, andre skadevoldere, konkurrenter eller fremmede staters etterretnings- eller sikkerhetstjenester. Skillet er ikke alltid skarpt. F eks kan terrororganisasjoner finansiere virksomheten med organisert kriminalitet i form av kidnappinger, mens enkelte land benytter sin statlige etterretningstjeneste til å utøve industrispionasje til fordel for egne foretak med nasjonal forankring. Kategoriseringen gjør det imidlertid langt enklere å fokusere i det neste trinnet, som er å vurdere hvilke metoder aktuelle aktører i det aktuelle området kan antas å ville benytte og hvor sofistikert metodene kan være. Ofte vil bestemte kriminalitetsformer, metoder og teknikker kunne blinkes ut som særpreget i det aktuelle landet, distriktet eller farvannet. Da vil det også bli tydeligere hvilke type tiltak foretaket bør fokusere på. I mange land er det store forskjeller i sikkerhetstrusselen i ulike distrikter av landet. Landrisikovurderinger som kun angir et generelt risikonivå i landet er utilstrekkelige i slike tilfeller. Korrupsjon er ikke bare er en direkte trussel mot forretningsvirksomheten. I tillegg kan korrupsjon være indirekte en trussel ved at man personlig kan tas i forvaring av myndighetene dersom man nekter å betale seg ut, gjerne etter påstander om fiktive lovbrudd. I land med høyt korrupsjonsnivå er det som regel også en del andre sikkerhetsutfordringer i tillegg. Trusselen kan påvirkes av krav til foretaket fra myndighetene i aktuelle land eller distrikt. Kravene kan være politisk motiverte for f eks å høste oppslutning eller økonomisk gevinst, eller være et resultat av ulik oppfatning av risiko eller ulike kulturer. Eksempelvis kan sentrale myndigheters krav om væpnede vakter føre til at et objekt blir mer utsatt for angrep fra lokale motstandere av regimet. Andre krav kan være en viss andel lokalt ansatte eller at man benytter lokalt ansatte utpekt av myndighetene. Mer dramatisk er det om sentrale myndigheter endrer rammevilkårene som påvirker investeringer, konsesjoner og eierskap. Nasjonalisering av hele sektorer i Venezuela og Russland er eksempler på at selv store land kan være uforutsigbare. Slike forhold kan ligge utenfor en ren sikkerhetsrisikovurdering, men bør da tas høyde for i vurderingen av etterlevelsesrisikoen ( political risk ). Det er lett for at fokuset på utlandet gjør at man glemmer at også hendelser i Norge kan påvirke risikoen for virksomheten i utlandet. Kjente eksempler er karikaturtegningene av profeten Muhammed, tildelingen av Nobels fredspris og kritikk mot ambulansepersonell for manglende hjelp til personer av utenlandsk opprinnelse i konkrete saker. I en stadig mer globalisert verden skal det mindre til før hendelser raskt blir kjent i utlandet og får uante konsekvenser. Utbredelsen av sosiale medier har forsterket denne utviklingen. Det er derfor viktig i trusselvurderingen å følge med på og ta hensyn til også den hjemlige situasjonen. I vurderingen av aktuelle trusselaktører er det viktig ikke å begrense vurderingen til kun eksterne aktører. Undersøkelser og statistikk, både internasjonalt og i Norge, viser at i de fleste tilfellene foretak er påført skade, skyldes det egne medarbeidere. I hvilken grad egne medarbeidere kan utgjøre en trussel varierer mellom ulike forretningsområder og land. I bransjer og land der det f eks er høy grad av korrupsjon, underslag og SIDE 11

andre typer misligheter, kan det også antas at interne medarbeidere vil utgjøre en større trussel mot foretaket. Innslag av lojalitetsstrukturer som ikke er forenlig med arbeidsgivers interesser, infiltrasjon og sosial manipulasjon, er i en del land større mot norske foretak enn i Norge. I tillegg til en trusselvurdering for foretakets virksomhet i utlandet, herunder fast stasjonerte ansatte ( expatriates ), bør det foretas løpende trusselvurderinger for ansatte i foretaket som skal reise til ulike land og regioner i utlandet. Foretaket bør ha en tydelig policy for hvilket trusselnivå det aksepteres at man utsetter seg og sine medarbeidere for, samt jevnlig og ved større hendelser revidere trusselvurderingen. I trusselvurderingen bør også kulturelle forskjeller i utlandet adresseres. Det kan være lett å undervurdere lokalbefolkningen i mindre utviklede områder enn i Vesten. Atferdsnormene er ulike fra vår hjemlige sfære. Egne handlinger og utsagn kan pga kulturelle forskjeller utilsiktet og ubevisst fornærme eller provosere lokale innbyggere, samarbeidspartnere eller andre man møter. I verste fall kan det oppstå farlige situasjoner for personellet eller at forretningsvirksomheten rammes. 5.3.3 Trusselmatrise NSR anbefaler at det også for trusselvurderingen utarbeides en matrise. Trusselmatrisen kan med fordel ha like mange kategorier som verdivurderingen, slik at matrisens to akser blir proporsjonal, men det er ikke avgjørende. Typiske hovedkriminalitetsformer som kan inngå i en slik matrise er vold og press, økonomiske misligheter, samt tyveri av og skade på informasjon. For å oppnå et tilstrekkelig presisjonsnivå kan vold og press deles opp i terrorhandlinger, grove ran, kidnapping og piratvirksomhet mot løsepenger/gisselsituasjoner, utpressing, samt vold og trusler mot fremtredende personer. Økonomiske misligheter kan deles opp i korrupsjon, bedrageri og underslag. Tyveri av og skade på informasjon kan deles inn i ondsinnet programvare 1, tyveri av datautstyr, avlytting og tempestfangst 2. Se figur 4. Det er ikke noe i veien for at matrisen utvides med politiske forhold som kan medføre regulatorisk risiko eller utilsiktede hendelser, som f eks ulike typer naturkatastrofer og sosial uro, selv om det ikke inngår i security -begrepet. For en mer detaljert kategorisering av ulike trusselaktører vises det til Sikringshåndboka 3 utgitt av Forsvarsbygg. 1 Ondsinnet programvare, f eks trojanere, vil ofte være et fenomen som ikke er begrenset av landegrenser, spesielt hvis angrepet er målrettet. Likevel kan visse typer virksomheter, markeder og land være noe mer utsatt enn andre. 2 Passiv innhenting av signaler fra elektromagnetisk strålig fra elektronisk utstyr som f eks IT-systemer, signalkabler og andre metalliske ledere i nærheten av slike. 3 NSR arrangerer jevnlig kurs i Sikringshåndboka med bistand fra Forsvarsbygg. SIDE 12

Figur 4: Matrisen viser et eksempel på vurdering av nivået på ulike typer trusler i ulike deler av foretakets tilstedeværelser, angitt med fargekoder. Matrisens kategorier kan tilpasses iht foretakets behov. Land A, distrikt/by X Land B, distrikt/by Y Land B, distrikt/by Z Terrorhandlinger Vold og press Grovt ran Kidnapping og gisseltaking Utpressing Vold og trusler mot ledere Økonomiske misligheter Tyveri av og skade på informasjon Korrupsjon Bedrageri Underslag Ondsinnet programvare Tyveri av datautstyr Avlytting (akustisk) Tempestfangst SIDE 13

5.3.4 Kilder og tjenesteleverandører Når det skal utarbeides en trusselvurdering kan det benyttes en rekke kilder. For næringslivet er det normalt meget vanskelig å få sikkerhetsgradert informasjon om trusler i konkrete land fra norske myndigheter. Det er mulig å innhente informasjon fra åpne kilder, f eks Utenriksdepartementets offisielle reiseråd (landsider.no) og Utlendingsforvaltningens fagenhet for landinformasjon (landinfo.no). NSR anbefaler også vurderinger fra myndighetene i andre vestlige land, spesielt landinformasjon og reiseråd fra utenriksdepartementene i andre nordiske land, Canada og Australia, samt CIA World Factbook. Det finnes også enkelte internasjonale rapporter der omfanget av ulike kriminalitetsformer i ulike land vurderes og sammenlignes ( crime surveys ). Det kan også finnes relevante rapporter fra myndighetene i aktuelle land, men tilgjengeligheten, troverdigheten og språkbarrierer kan variere i stor grad. Transparency International gjennomfører undersøkelser om korrupsjon i de aller fleste land og offentliggjør resultatene i blant annet komparative oversikter på Internett (transparency.org). Det er flere tjenesteleverandører som tilbyr oppdaterte og grundige sikkerhetsrisikovurderinger av de fleste land i verden, myntet på både sikkerhetspersonell og reisende i foretak. Tjenestene fokuserer på trusselvurderinger og råd om sikkerhetstiltak mot aktuelle trusler. Noen av de samme tjenesteleverandørene tilbyr også vurdering av forretningsrisikoen i de fleste land, samt kontaktpersoner på lokasjonene som kan bistå ved kriser og andre alvorlige hendelser. Det finnes også leverandører som har spesialisert seg på å bistå foretak som ønsker å etablere seg i et bestemt land eller region. Selv om slike tjenester har en kostnadsside, kan det for foretak innebære en betydelig heving av kvalitet og effektivitet i sikkerhetsrisikovurderingene. 5.4 Sårbarhetsvurderingen 5.4.1 Kjente trusler versus mulige trusler Når det er fastsatt hvilke verdier virksomheten vil beskytte og aktuelle trusler mot verdiene, er neste trinn å vurdere virksomhetens sårbarhet mot truslene. Det er naturlig å først ta utgangspunkt i de mest aktuelle scenarioene, dvs metoder og teknikker som relevante trusselaktører i eller på det aktuelle området er kjent for å benytte eller kan tenkes å benytte. Dersom tilgjengelig informasjon om truslene er såpass mangelfull at man ikke er i stand til å gi noen kvalifisert vurdering av aktører, metoder og teknikker, kan man i stedet ta utgangspunkt i muligheten for at en sårbarhet kan utnyttes. En mulighetsvurdering fokuserer på i hvilken grad en sårbarhet kan utnyttes, uavhengig av historikk og kjente aktørers intensjon og kapasitet. Ulempen med en mulighetsvurdering er at den kan oppfattes som for teoretisk. Fordelen er at den ikke begrenser seg til forhold som er kjent og tar høyde for det mange erfarer - at den neste store hendelsen eller krisen sjelden er lik den forrige man opplevde. 5.4.2 Fokuset i sårbarhetsvurderingen I komplekse forhold er det nødvendig å identifisere og beskrive kritiske prosesser i virksomheten, og hvilke ressurser prosessene er avhengig av for å fungere, jf beskrivelsen under verdivurdering. Når årsakssammenhenger og avhengigheter for måloppnåelsen er avdekket, vil det bli tydeligere hvilke elementer sårbarhetsvurderingen skal fokusere på. Om det viser seg å være et transportmiddel, et produksjonslokale, et IT-system eller en gruppe nøkkelpersoner, eller en kombinasjon av disse, vil variere fra virksomhet til virksomhet. Ved eksisterende virksomhet i utlandet er det naturlig å vurdere ved jevne mellomrom om allerede implementerte sikkerhetstiltak er hensiktsmessige og dekkende. Ved etablering av ny virksomhet må det gjøres et større arbeid i planleggingsfasen, men man står til gjengjeld friere i å vurdere ulike typer sikkerhetstiltak. De sårbarhetsreduserende tiltakene (sikkerhetstiltakene) bør bestå av en kombinasjon av organisatoriske, menneskelige og teknologiske tiltak. Med organisatoriske tiltak menes f eks identifisering av ansvar, myndighet og roller innen sikkerhet og risiko, interne retningslinjer, prosedyrer for hendelseshåndtering, beredskapsplaner og dokument-asjon av tiltakene. Menneskelige tiltak er gjerne tiltak som bakgrunnssjekk av ansatte SIDE 14

og innleide, kompetansetiltak, bevisstgjøringsprogrammer og lojalitetsskapende tiltak rettet mot medarbeiderne. Teknologiske tiltak er tiltak som skaper robusthet i utstyr, hjelpemidler og andre fysiske ressurser foretaket er avhengig av, f eks fysisk sikring av lokaler, IT-sikkerhet og sikring av møterom mot overhøring og avlytting. For at de teknologiske tiltakene skal virke må imidlertid ofte de organisatoriske og menneskelige tiltakene være på plass. Å f eks sikre et møterom mot avlytting hjelper lite dersom foretaket ikke sikrer seg mot infiltratører som blir ansatt og får fritt spillerom pga manglende retningslinjer og rutiner for adgang til rommet. 5.4.3Kost-/nyttevurdering av tiltak Hvilke sikkerhetstiltak som skal benyttes avgjøres etter en kost-/nyttevurdering. I kostvurderingen må det tas hensyn til direkte økonomiske utgifter, hvor inngripende tiltaket er mot den enkeltes integritet og personvern, og spesielt om tiltaket vil redusere virksomhetens operative evne (inntjening, produksjon, leveranser osv). I nyttevurderingen inngår tiltakets effekt mot de mest aktuelle eller mest skadelige truslene (reell sikkerhet) og sikkerhetspreget tiltaket gir (opplevd sikkerhet). Med sikkerhetspreg menes evne til avskrekking mot trusselaktører, bidrag til ansattes trygghetsfølelse og betydningen for omdømmet utad. Som regel er en kombinasjon av tiltak for å oppnå både reell og opplevd sikkerhet å foretrekke, men må man velge mellom de to bør reell sikkerhet prioriteres først. SIDE 15

06 RISIKONIVÅET 6.1 Aksept av risiko og restrisiko Det er ikke mulig å eliminere enhver risiko. Spørsmålet er heller hvilket risikonivå som skal anses akseptabelt, og om restrisikoen etter fastsatte og gjennomførte sikkerhetstiltak er innenfor akseptabel risiko. Selv om personell innen risikostyring og sikkerhet kan gi en forholdsvis dekkende beskrivelse av sikkerhetsrisikobildet ved en virksomhet i utlandet, er det likevel resultatansvarlig som eier risikoen, i ytterste konsekvens virksomhetens øverste leder. Det er også resultatansvarlig som normalt har den beste totaloversikten over virksomhetens ulike risikofaktorer, herunder positiv risiko i betydningen muligheten for fortjeneste. Det er følgelig resultatansvarlig som må beslutte og ta ansvaret for hvilket sikkerhetsrisikonivå som skal aksepteres. 6.2 Risikopersepsjon I kvantitative risikovurderinger innen f eks teknisk safety benyttes ofte naturvitenskapelig metode. Hensikten er at alle relevante faktorer identifiseres og måles for å komme frem til et tilnærmet objektivt resultat. Med mindre det er begått rene beregningsfeil vil uenighet ofte isoleres til metodebruk. Innen security og annen operasjonell risikostyring er det vanlig å i stedet benytte kvalitative risikovurderinger. Kvalitative vurderinger er basert mer på skjønn. Endringer i atferd og skiftende intensjoner kan lettere tas hensyn til. Ulempen med kvalitative risikovurderinger er at graden av subjektivitet kan bli vel stor. Risiko vurderes ulikt av ulike mennesker, ikke bare ut i fra et faglig ståsted, men også pga ulike personlige egenskaper og erfaringer hos den enkelte. At oppfattelsen av risiko kan variere mye tilsier at risikovurderinger bør foretas av flere i fellesskap og ikke overlates til én person i bedriften. 6.3 Risikobildet Når risikobildet skal beskrives kan det gjøres ved hjelp av en matrise. Matrisen vil være et uttrykk for resultatene i både verdivurderingen, trusselvurderingen og sårbarhetsvurderingen. Innen operasjonell risikostyring benyttes ofte uttrykkene risiko før gjennomførte kontroller (iboende risiko) og risiko etter gjennomførte kontroller. Iboende risiko i security - metodikken blir det samme som en funksjon av verdi, trussel og eventuelle sikkerhetstiltak i en etablert virksomhet, mens risiko etter gjennomførte kontroller blir det samme som risiko etter at identifiserte (rest) sårbarheter er håndtert ved gjennomføring av nye sikkerhetstiltak. Selv om dette skillet kan oppleves noe konstruert, kan det likevel være en nyttig sondring når sikkerhetsrisikoen og eventuelle tiltak for å redusere den skal forklares beslutningstakere og andre som er vant til å forholde seg til begrepsapparatet innen operasjonell risikostyring. En matrise om sikkerhetsrisikobildet kan bli noe misvisende i ytterkantene dersom en nærmest matematisk tilnærming gjøres. F eks vil man anse muligheten for at en stor meteor slår ned og utsletter virksomheten som særdeles liten. Konsekvensen vil imidlertid bli katastrofal. Det skal teoretisk tilsi at man kommer i gul sone i matrisen, og dermed er villig til å bruke moderate midler til å sikre seg, men i praksis vil man ikke bruke nevneverdige ressurser på noe slikt. En slik tilnærming er i samsvar med den såkalte ALARP-modellen ( get the risk As Low as Reasonable Practicable ), introdusert i det britiske regelverket for HMS på midten av 1900-tallet. Ekstremverdier i denne delen av matrisen vil altså ofte vurderes som en liten risiko og fargekoden her settes derfor i tråd med det. Se figur 5. Dersom risikonivået vurderes som høyt bør foretaket etablere en sikkerhetsleder med kompetanse til å utføre risikovurderinger og sikkerhetsarbeid eller i det minste med bestillerkompetanse for å kunne kjøpe nødvendige spesialiserte sikkerhetstjenester av leverandører. Til slutt vil vi gjøre oppmerksom på at risikovurderinger generelt og matrisene vist til her, ofte er et resultat av høyst skjønnsmessige vurderinger basert på begrenset informasjonstilgang, begrenset tid til rådighet og personlige preferanser av den som har foretatt vurderingene. Ulempen med matrisene er at når de først er fremlagt, med sine kategorier og fargekoder, i praksis kan bli tillagt større betydning enn det strengt tatt er grunnlag for. Matrisenes fordel er at de gir en forenklet, visuell og mer intuitiv tilnærming til sikkerhetsrisiko i praksis er det ofte det som fungerer best når komplekse forhold skal forklares enkelt og kort til beslutningstakere som ikke er spesialister på feltet. SIDE 16

Figur 5: Risiko uttrykt som en funksjon av sannsynlighet for og konsekvens av hendelser. Fargekodene uttrykker hvilken aksept for risiko man er villig til å ta. Grønn symboliserer akseptabelt nivå, gul akseptabel i visse tilfeller og rød uakseptabel med mindre (ytterligere) tiltak iverksettes eller en gevinst som motsvarer det høye risikonivået kan påregnes. HØY M/H KONSEKVENS MODERAT L/M LAV LAV L/M MODERAT M/H HØY SANNSYNLIGHET SIDE 17

07 ET HELHETLIG SIKKERHETSSYSTEM Det mest kosteffektive er ofte å forebygge mot at uønskede hendelser påfører skade. Forebyggende tiltak inndeles ofte i barrierer, deteksjon og reaksjon. En barriere kan f eks være et sterkt gjerde rundt en bygning, en brannmur i IT-system eller et krav om bakgrunnssjekk før ansettelse. Deteksjon kan f eks av alt fra en alarmsensor i et bygg og overvåking av nettverksaktivitet i IT-system, til rutiner som kan avdekke korrupsjon og underslag. Reaksjon kan være en utrykningsenhet for å stanse et innbrudd, reparere et sikkerhetshull som er laget eller utnyttet eller sette en utro tjener ut av spill. Det er imidlertid naivt å tro at hendelser aldri vil inntreffe eller aldri vil påføre skade. Og det er ikke mulig å sikre seg mot alt mulig til enhver tid, ei heller å kunne forutsi nye metoder trusselaktører vil benytte i fremtiden. Sikkerhetstiltakene bør derfor også bestå av skadebegrensende tiltak for å redusere skade når en hendelse først inntrer, og gjenopprettende tiltak for å bringe virksomheten tilbake til normal drift igjen, se figur 6. Skadebegrensende og gjenopprettende tiltak benevnes ofte hendelseshåndtering eller hvis omfanget er stort krisehåndtering. Det kan bestå av alt fra reservesystemer og sikkerhetskopier av lagringsmedier, til en velfungerende kriseledelse og gode leveranseavtaler. På hvilket tidspunkt en hendelse går over til å bli en krise kan det være delte oppfatninger om. En mye brukt definisjon er at hendelser som truer bedriftens viktigste mål og som bedriften ikke er i stand til å håndtere med eksisterende prosesser eller egne ressurser er en krise. Mange anser en hendelse for å være en krise for bedriften også dersom andre oppfatter at hendelsen er en krise, selv om bedriftens ledelse ikke selv anser hendelsen å true måloppnåelsen i dette ligger at det kan oppstå en omdømmekrise som kan leve sitt eget liv i media. Det er fra enkelte hold reist kritikk mot krisebegrepet fordi uttrykket krise gjør at mange intuitivt antar at hendelsen skal håndteres av andre enn normalt, på vesentlig annen måte enn lignende hendelser i mindre skala, eller at alle beslutninger skal løftes opp til øverste ledelse. Utgangspunktet for hendelses- og krisehåndtering er imidlertid at ansvaret fortsatt tilligger den som har ansvaret til daglig (ansvarsprinsippet), organisasjonen endres ikke (likhetsprinsippet) og utfordringer skal løses på et lavest mulig nivå (nærhetsprinsippet). Opplevelsen av informasjonsunderskudd gjør at det likevel kan være behov for hurtigere kommunikasjon og et mer oppdatert situasjonsbilde enn vanlig, så enkelte koordinerings- og støttefunksjoner kan med fordel forsterkes (samordningsprinsippet). Et grunnlag for god krisehåndteringen legges i en beredskapsplan for de mest aktuelle scenarioene, jevnlig trening og øving, fleksibilitet, redundante løsninger, kompetente støttefunksjoner og en synlig og god ledelse også under selve krisen. Et godt og helhetlig sikkerhetssystem består av en kombinasjon av og balanse mellom tiltak innen alle ovennevnte kategorier. Figur 6: Tidslinjen viser sammenhengen mellom forebygging, skadebegrensing og gjenoppretting. Kartlegge Forebygge Skadebegrense Gjenopprette Gjennomføre risikovurdering Iverksette sikkerhets- og beredskapstiltak Foreta hendelses- og krisehåndtering SIDE 18