21 Foto: Arne R. Simonsen NSRs nye direktør Kristine Beitland og avtroppende direktør Erland Løkken. Takk for meg! Som direktør i NSR har jeg ønsket å gjøre kriminalitet i og mot nærings livet mer synlig. Det mener jeg vi har lyktes med. Når dette leses har jeg tatt farvel med NSR. 1. mai tiltrådte jeg som administrerende direktør for Bergene Holm AS, et av Norges største trelastselskaper med rundt 400 ansatte og vel 1 milliard i omsetning. Det er en stor overgang, men det var fra Bergene Holm jeg kom til NSR i 2009. Det som den gang slo meg var at jeg og få andre i den bransjen hadde hørt om NSRs arbeid, til tross for at vi også ble utsatt for kriminalitet. Bevisstgjøring Noe av det første jeg gjorde da jeg tiltrådte som direktør i NSR var derfor å rette oss mer mot næringslivets ledere. Det er lederne som sitter med ansvaret for virksomhetens sikkerhet, og det er de som tildeler ressurser intern. Mens HMS-arbeid er lovpålagt, er det kriminalitetsforebyggende arbeidet basert på egeninteresse og bevissthet om trusselen. Vi kan ikke pålegge lederen å gjøre noe, men vi vil bevisstgjøre dem slik at det ligger et reelt valg bak de prioriteringer som tas internt. Uvurderlig nettverk De resultatene vi har oppnådd skyldes flere årsaker. Målrettet arbeid er én grunn, men en like viktig årsak finnes i det frivillige arbeidet som våre utvalg og nettverk legger ned for NSR og det kriminalitetsforebyggende arbeidet. Det er en feno menal innsats og et utrolig kunnskapstilfang NSRs administrasjon har å trekke på. I tillegg har kontaktflaten vi har mot etater, departementer og politikere vært uvurderlig. Ny direktør Jeg vil takke alle som støtter opp om NSR og det kriminalitetsforebyggende arbeidet. Vi er avhengig av deres innsats. Jeg benytter også muligheten til å ønske Kristine Beitland velkommen som ny direktør i NSR. Hun og Arne Røed Simonsen vil uten tvil ta NSR videre. Erland Løkken, tidligere direktør i Næringslivets Sikkerhetsråd Næringslivets Sikkerhetsråd (NSR) er en selvstendig medlems forening som fore bygger kriminalitet i og mot nærings livet. NSR er rådgivende for medlemmene innenfor fysisk-, teknisk-, og personell sikkerhet, og er næringslivets kontaktpunkt mot myndig hetene innenfor de nevnte områder. NSR har regel messige møt er med myndighetene gjennom vårt konsultative råd bestående av Politiets sikkerhets tjeneste, Politidirektoratet, Kripos, ØKOKRIM, Nasjonal sikkerhets myndighet, Tollog avgiftsdirektoratet og Direktoratet for samfunnssikkerhet og beredskap. I det konsultative rådet møter dessuten representanter for et bredt spekter av næringslivets virksomheter, LO og YS. NSR deltar i ulike myndighetsutvalg på vegne av næringslivet. NSRs administrasjon holder til på Majorstua i Oslo. Internett: www.nsr-org.no E-post: nsr@nsr-org.no AKTUELT Hvordan beskytte egen virk somhet: 14. - 15. februar, Oslo 16. - 17. oktober, Oslo Hvordan håndtere en gissel- eller kidnappingssituasjon: 6. mars, Oslo NSRs Årsmøte: 7. juni, Oslo Sikkerhetskonferansen 2012 11. - 12. september, Oslo Mer informasjon: www.nsr-org.no www.krisino.no www.morketalls- undersokelsen.no www.sikkerhetskonferansen.org NSRs stiftere:
22 NSR-sidene Fiende ved brannmuren Bedrifter er mål for nettbasert spionasje og annen kriminalitet. Dette er en utvikling vi i Norge er dårlig rustet til å møte. Skrevet av Gunnar Lindstøl, Buypass AS 2011 ble et datasikkerhetens «annus horribilis» for både private og offentlige virksomheter verden over. 2012 blir året da datasikkerhet for alvor blir satt på dagsorden i samfunnet. Da Forsvarets etterretningstjeneste nylig la frem sin trusselvurdering «Fokus 2012» ble tyveri av kommersielle data og intellektuell eiendom fremhevet som den mest omfattende trusselen mot norske interesser i fredstid. Lang vei igjen I World Economic Forums årlige rapport er cyberangrep identifisert som en av de fem fremste globale risikoene. Rapporten konkluderer med at priv ate bedrifter har en lang vei å gå før vi har gjennomgående robuste strategier innenfor datasikkerhet. Vi i Buypass er enige i denne konklusjonen, men bedriftsledere møter nå et helt nytt trusselbilde som gjør det umulig å stå alene i dette arbeidet. Det kreves samhandling mellom myndigheter og bedrift er for å bygge effektive barrierer mot moderne nettkriminalitet, fordi den er mer kompleks og annerledes motivert enn tidligere. Mens data- og nettkriminalitet frem til nå hovedsakelig har dreid seg om økonomisk vinning gjennom relativt usofistikerte metoder, ser vi nå en betydelig endring i hvem som står bak angrepene, hvordan de utføres og hva som motiverer handlingene. Nettspionasje er en trussel Aktivisme og politiske motiver trer frem som alvorlige trusler mot virksomheter. En spes ielt foruroligende utvikling er at fremmede makter går til angrep på private virksomheter og enkelt bedrifter i andre land gjennom nettbasert spionasje og kriminalitet. I internasjonale etterretningsmiljøer ser man nå nettspionasje som en større trussel enn tradisjonell spionasje. Aktører som vil tilegne seg sensitiv informasjon opererer relativt risikofritt i «cyberspace», og målene er stadig oftere private bedrifter. Fremmed statsmakter I fjor så vi urovekkende eksempler på datakriminalitet mot private bedrift er i Europa som kan spores til fremmede statsmakter. I juli 2011 oppdaget DigiNotar, en nederlandsk utsteder av digitale sertifikat er for sikring av nettsider, at noen hadde hacket deres system er for å utstede falske sertifikater. Målet synes å ha vært en statsmakts overvåking av dissidenter i landet gjennom eksempel vis å «avlytte» e-post.
23 «Virksomheter som angripes står mer eller mindre alene i sitt forsvar» forsvar og kunnskap. Virksomheter som angripes står mer eller mindre alene i sitt forsvar, til tross for at de potensielle konsekvensene kan være samfunnsmessig gjennomgripende. Dette gjelder også de aktørene som i dag forvalter kritiske komponenter innenfor vår nasjonale infrastruktur. Denne strukturen omfatter i høyeste grad også datakommunikasjon, strømnett og systemer for bank og finans. Beredskap mot denne typen angrep kan ikke håndteres i offentlige og private siloer. Her må lovgivning og samarbeid gå hånd i hånd om vi som samfunn skal kunne utvikle et effektivt forsvar. Da Forsvarets etterretningtjeneste nylig la frem sin trusselvurdering, ble tyveri av kommersielle data fremhevet som den mest omfattende trusselene mot norske interesser i fredstid. Foto: Sindre Sorhus, Forsvaret Hvordan private bedrifter i den vestlige verden utnyttes for politiske formål i fremmede land er dramatisk. Få måneder etter at selskapets systemer ble hacket var DigiNotar konkurs. Vi kan bare spek ulere i konsekvensene for enkeltmennesker som potensielt utsettes for overvåkning fra sine egne myndigheter. Bøter Vi ser nå eksempler på ny eller skjerpet lovgivning innenfor datasikkerhet og databeskyttelse, hvor virksomheter vil risikere straff utover rene økonomiske tap etter et hackerangrep. I forbindelse med revideringen av EUs databeskyttelsesdirektiv fra 1995, har Europakommisjonen innført bøter for selskaper som blir frastjålet persondata. Uavhengig av hvor de har sitt hovedkontor kan selskaper som opererer innenfor EU-området bli dømt til bøter for databrudd, et fakt um som flytter temaet fra ITavdelingen til styrerommet. Infrastruktur I Norge står vi dårlig rustet til å møte utviklingen, med klare mangler innenfor to områder: Koordinert Trenger kunnnskap Kunnskap og informasjon er kritiske komponenter i dette forsvaret. Norske myndigheter må inngå tettere informasjons samarbeid med andre land, og informasjon må deles med og mellom de offentlige og private virksomhetene som kan være mål for angrep. Et angrep på private bedrifter bør eskaleres og i visse tilfeller bør det utløse respons fra Norge gjennom diplomatiske kanaler. Dette har vi i dag verken tradisjon eller mekanismer for, og kompetansen er begrenset. I sum kreves det et gjennomgripende nytt syn på hvordan vi skal møte det nye trusselbildet. Vi treng er mer kunnskap, mer informasjon og bedre samhandling for å utvikle effektive strategier for vårt forsvar og vi trenger det nå. Artikkelen ble også publisert som et debattinnlegg i Dagens Næringsliv, 23. mars 2012
24 NSR-sidene Kampanjetilbud sendt som juksegiro Et kampanjetilbud presentert som en giroblankett skaper forvirring blant virksomheter. Tekst: Arne Røed Simonsen, NSR asi@nsr-org.no Varslingslisten har siden juni i fjor mottatt en rekke henvendelser fra ulike virksomheter som har mottatt en giro fra ett katalogselskap, som vi kaller «Nettkatalogselskapet. no» i denne artikkelen. Utformingen av giroblanketten er veldig lik en faktura, og antallet henvendelser til Varslingslisten tyder på at mange faktisk oppfatter det slik. Ikke telefonsalg Nettkatalogselskapet.no hevder på sin side at dette bare er et kampanjetilbud som de har sendt ut på en litt artig måte. Av erfaring vet vi at norske bedriftsledere er lei av pågående telefonselgere som forstyrrer og irriterer i en allerede hektisk hverdag. Av den grunn driver vi ikke med aktivt telefonsalg. Det er også bakgrunnen for at deres firma har mottatt kampanjetilbudet fra oss. At tilbudet sendes ut på en giroblankett er for å skape ekstra oppmerksomhet rundt denne kampanjen, skriver kundeservice i Nettkatalogselskapet.no. Vi må gi de rett på ett punkt de skaper oppmerksomhet! Problemet er at oppmerksomheten er frustrasjon og sinne hos de som mottar «fakturaen». Flere medier har hatt oppslag om fortvilte mottakere av giroblanketten fra Nettkatalogselskapet.no. Ugyldig faktura Kampanjetilbudet fra Nettkatalogselskapet.no, som har vart snart ett år, sier heller ikke noe om hva som er ordinær pris. Dette finner vi heller ikke på deres hjemmesider. Giroen som Nettkatalogselskapet.no sender ut er heller ikke gyldig som faktura i henhold til bok føringsforskriften, noe som Nettkatalogselskapet.no også er klar over. For å kunne oppfylle kravene til å være en faktura må giroen inneholde ordet faktura, ha et faktura nummer, fakturadato, kunde nummer og en betalingsfrist. Tilbudet vi sender ut inneholder ingen av delene, skriver kunde- Kjøpers ansvar Kjøper har etter bokføringsreglene et selvstendig ansvar for at kjøpsdokumentasjonen er riktig, jf. bokføringsforskriften 5-5 og bokføringsloven 10. Her fremgår det at kjøpsdokumentasjonen skal oppfylle de kravene som stilles til salgsdokumentasjon etter bokføringsforskriften 5-1. Dersom selger ikke overholder disse reglene og sender kjøper et mangelfullt salgsdokument, har kjøper selv ansvar for å sørge for at hans kjøpsdokument oppfyller kravene i bokføringsreglene. Kjøper skal da kreve ny salgsdokumentasjon fra selgeren som oppfyller kravene i bokføringsforskriften 5-1, jf. bokføringsforskriften 5-5. Kjøper bør være spesielt oppmerksom på om salgsdokumentet er påført organisasjonsnummer fra Enhetsregisteret og om foretaket er registrert i Merverdiavgiftsregisteret, da skal organisasjonsnummeret etterfølges av bokstavene MVA. Det er dette nummeret og det offisielle navnet fra Foretaksregisteret som skal stå på fakturaen (salgsdokumentet). Det er bare de som er registrert i Merverdiavgiftsregisteret som kan oppgi merverdiavgift i salgsdokumentasjon og opplyse i prisangivelse at vederlaget omfatter merverdiavgift, jf. merverdiavgiftsloven 15-14. Overholder ikke kjøper disse pliktene, kan man risikere straffeansvar
25 100 Antall ran første kvartal 80 60 Slike giroer blir sendt ut. Det har vært færre ran i første kvartal 2012 enn på flere år, men trenden kan snu. Nedgang i antall ran Tekst: Arne Røed Simonsen, NSR asi@nsr-org.no 40 20 2007 2008 2009 2010 2011 2012 arrangert flere kurs i fysisk sikring og ransforebygging. service i Nettkatalogselskapet.no i en e-post. Vi undrer på hvordan Nettkatalogselskapet.no håndterer de innbetalinger som måtte komme fra de som misoppfatter deres tilbud, og faktisk benytter denne giroen som faktura eller et salgsdokument. I følge statistikk fra Ransutvalget til Næringslivets Sikkerhetsråd er antallet ran rettet mot virksomheter i første kvartal i 2012 lavere enn på flere år. En av grunnene kan være at politiet har pågrepet personer som kan ha stått bak mange ran. En annen er at ulike ransutsatte virksomheter har blitt mer bevisst og sikrer seg bedre «Sikret mot ran» Det har vært jobbet bra med ulike ransforebyggende tiltak i mange næringer, og mange har benyttet seg av ordningen Sikret mot ran (se nsr-org.no). I tillegg har NSR Trenden kan snu Ransutvalget håper at flere blir mer bevisste og sikrer sine verdier på en god måte. Dette både av hensyn til virksomhetens ansatte, kunder og virksomheten selv. Det er viktig med fortsatt oppmerksomhet på god ranssikring selv om statistikken per nå ser bra ut. En slik trend kan fort snu og mange virksom heter har fortsatt en vei å gå. Gode rutiner, beredskapsplan og øvelse bør være på plass i tillegg til fysisk og teknisk sikring. Gode rutiner og øvede ansatte er til god hjelp for politiet i etterforskningen. etter bokføringsloven 15 og at man ikke får fradrag for inngående merverdiavgift på kjøpet og at skattefradrag kan nektes. Kjøper har således, under straffeansvar, en plikt til å be selger utstede en formriktig faktura før denne bokføres i regnskapet, og risikerer også å tape fradrag for skatt og merverdiavgift hvis det ikke gjøres Kilde: Bokføringsforskriften og bokføringsloven «Slipeligaen» er tilbake Omreisende verktøyslipere er et problem som dukker opp med ujevne mellomrom. De går gjerne direkte på verksteder og tilbyr sine tjenester. Tilbudet kan i utgangspunktet virke rimelig i forhold til normalpris, men sluttregningen blir større enn det som vil være vanlig. Det er vanlig at ikke bedriftslederen sier ja til avtalen, men overrumplede ansatte på verksteder og i produksjonen som i befippelsen over å få et slikt flott tilbud gir ifra seg noe som må slip es og signerer på et papirark. I noen tilfeller kan også ansatte bli truet med represalier om de ikke innfrir slipernes forventninger til et kontant oppgjør på stedet. NSR anbefaler virksomheter som blir oppsøkt av disse verktøysliperne å avvise et slikt tilbud. NSR