2012: Mangfold av sikkerhetstrusler

Nr. 1 2012 Utgitt av Næringslivets sikkerhets organisasjon www.nso.no og Næringslivets Sikkerhets råd www.nsr-org.no Kurs i risiko og regelverk 21 Foto: Shutterstock Fullt hus på Fagseminaret Skal man kun komprimere? 24 26 2012: Mangfold av sikkerhetstrusler 6-15

2 leder Stadig i forandring Kriminelle er stadig nødt til å komme opp med nye måter å svindle folk på. Virker ikke én måte, prøver de en annen. Slik utvikler de konstant sitt repertoar. De er også nødt til å tilpasse seg teknologien for å få mest mulig utbytte. Smart-telefoner og nettbrett eksisterte ikke for noen år siden, og for noen år tilbake var ikke trådløst internett noe man kunne ta for gitt. Hacking og datakriminalitet var helt ukjente fenomener for et par tiår siden. Uforsiktighet og slappe rutiner blant bedrifter er attraktive smutthull for de kriminelle. Som direktør i Næringslivets SIkkerhetsråd Erland Løkken skriver på side 6: «Mange næringsdrivende har passord for å komme inn på PC-en på jobben, men mottar e-post ene på telefonen som er usikret.» Smart-telefoner har ført til at e-post på mobil er så godt som standard, så dette bør være et tankekors for mange også for dem som ikke har bedriftshemmeligheter i innboksen. I dette nummeret av Sikkerhet har vi invitert fagfolk til å skrive om hva de mener er de største utfordringene for næringslivet i 2012. Her «Industrivernet kan lære av de kriminelle ved å følge utviklingen og ikke være redd for å forandre gamle rutiner» trekkes det fram alt fra krisekommunikasjon og kidnapping til åpne nettverk. Selv om ikke alle temaene er like aktuelle for din virksomhet, kan det være greit å holde seg oppdatert på dette. På en måte kan også industrivernet lære av de kriminelle ved å følge utviklingen og ikke være redd for å forandre gamle rutiner. Beredskap er noe som er i stadig utvikling, og det utvikles stadig produkter og metoder som gjør bedrifter bedre rustet til å sikre sin virksomhet. Utnytter industrivernet og beredskapen optimalt? Kan dere benytte ressursene dere har til rådighet enda bedre? Det kan også være greit å få bekreftet dersom løsningen dere allerede har, er den beste for virksomheten. Og er dere usikre om hvordan dere best kan tilpasse industrivernet etter den nye forskriften, kan dere enten melde dere på ett av våre regelverkseminar eller ta direkte kontakt med NSO. Mer informasjon om seminaret og andre nyheter om forskriften, finner dere på nso.no. Moderne kriminelle bruker virksomheters åpne nettverk til å bryte seg inn. PS: Hva synes du om Sikkerhets nye design? Fortell meg gjerne din mening, på sikkerhet@nso.no Sikkerhet for 25 år siden Industrivern-nytt Nr. 1 1987 Stor oppslutning om Industri vernets opplæringsvirksomhet i 1986 «Opplæring av industrivern- og tjenestegrenledere er en av Industrivernets viktigste oppgaver. Arbeider legger beslag på en stor del av Opplærings- og organisasjonsavdelingens kapasitet. ( ) Etter vel to års utviklingsarbeid markerer avviklingen av to ordinære SIMKAT-kurs i 1986 at dette opplæringstilbudet nå er kommet over i driftsfasen. Tilbakemeldingen fra deltakernes side har vært gode. ( ) Oppslutningen om Industrivernets kurs har i 1986 vært meget god med totalt over 1000 deltakere.»

2012: Et mangfold av sikkerhetstrusler 6 Sikkerhetsarbeidet blir lett neglisjert 8 Veileder for kamera overvåkning 8 Ny metode for risikoanalyse 10 Identifisér krisen 11 Å overleve kidnapping 12 Nødvendig med god kommunikasjon 13 Mange trusler for ansatte 14 Åpne nettverk gir høy risiko Øvelser 16 Full alarm på Nortura 16 Kjemikalieøvelse på Follum 17 Dramatisk ved Celsa 16-17 Innhogg innhold 18 Industrivern personell er ikke sikrings ressurs i NSO-fokus 20 Risikovurdering må planlegges 21 Risiko og regelverk 21 Orientering 22 Utfordrende SIMKAT 20 Spørrespalten 24 Fagseminaret 2011 4 Produkt nyheter 26 Smånytt 27 Skadelappen 6-15 3 «Vi starter ofte prosessen med risikovurdering for raskt, før viktige forhold er avklart, og kommer derfor fort opp i uforutsette problemer» Trygve Olav Finsal, direktør, NSO 20 18-19 24 25 Nr 1 2012 Årgang 58 ISSN 0805-6080 Utgis av og organ for Næringslivets sikkerhets organisasjon (NSO) og Nærings livets Sikkerhets råd (NSR) Besøksadresse: Essendrops gt. 3, Major stuen, Oslo Postadresse: Postboks 5468 Majorstuen, 0305 Oslo Tlf: 23 08 85 38 e-post: sikkerhet@nso.no www.nso.no/bladet_sikkerhet Abonnement: Kr. 350/år. Tilleggsabonnement medlemmer: Kr. 175/år Bladet «Sikkerhet» er gratis for virksomheter tilknyttet NSO og medlemsvirksomheter i NSR. Antall blader virksomheten mottar står i forhold til antall mannskaper i industrivernet. NSR-medlemmer mottar ett eksemplar. Tilknyttede virksomheter kan tegne tilleggsabonnement for 50 prosent av ordinær pris. Redaktør: Karoline K. Åbyholm tlf: 93 64 13 07 karoline.abyholm@nso.no Bladbunad: Altern IKT og lobby v/ingeborg Altern Vedal tlf: 94 13 18 16 e-post: ikt@altern.no Trykk: Merkur Trykk, Stanseveien 9, Oslo tlf: 23 33 92 00, www.merkurtrykk.no «Sikkerhet» innestår ikke for det faglige innhold i signerte artikler. Redaksjonen ble avsluttet 20. januar. Utgivelsesplan 2012 Nr. Manus Utgiv. 1 16. jan uke 6 2 5. mars uke 13 3 23. april uke 20 4 13. aug uke 35 5 1. okt uke 43 6 12. nov uke 49 Sikkerhet nr. 2 2012 kommer i uke 13. Innlegg må være redaksjonen i hende senest 5. mars. NSO2010 Føresegnene i åndsverklova gjeld for materialet i Sikkerhet. Utan særskild avtale med NSO er all eksemplarframstilling og tilgjengliggjering berre tillate så langt det har heimel i lov eller avtale med Kopinor, interesseorganisasjonen for rettshavarar til åndsverk.

4 produktnyheter Viktig med god håndhygiene En god håndhygiene lønner seg alltid. Rene og sunne hender forebygger spredning av bakterier og virus. Hendene er den største smittekilden når det kommer til overføring av bakterier. En god hånd hygiene er derfor relevant alle steder hvor mennesker omgås. Danske Plum tilbyr nå veldokumenterte hånddesinfeksjonsprodukter i størrelser fra små lomme flasker til avanserte dispenser - varianter. For mer informasjon, se plum.dk. N1000-serien består av fire modeller. N1200 og N1300 har glatt nitriloverflate, mens N1500 og N1700 har ru overflate. Redningsposer mot hypotermi Espe Produkter AS har utviklet en redningspose for forebygging av hypotermi. Posen er produsert slik at den skal gjøre det enkelt for redningspersonellet å bruke produktet, og at pasienten som blir lagt i redningsposen skal ha det behagelig. Posen har fukt- og dampsperre, og er i tillegg vind- og vanntett. Den tåler også temperaturer helt ned til -14 grader. For mer informasjon, kontakt Espe Produkter AS: espe@espe-produkter.no Arbeidsklær til hardt vær Helly Hansen KIRUNA er den perfekte serien arbeidsklær for folk som trenger ekstra beskyttelse under arbeid i hardt vær. Samtidig som klærne er fleksible og komfortable er de også designet så de ser bra ut. Kiruna jakke er produsert i et vanntett, pustende stoff i 100 prosent polyamid, som sikrer at jakka både beskytter samtidig som den puster. Kiruna parka kommer med samme tekniske løsninger, i samme størrelser og farger, som Kiruna jakke, men er litt lengre og beskytter dermed litt mer. For mer informasjon kontakt Helly Hansens pressekontakt, Mari Mikkelsen: mari.mikkelsen@hillandknowlton.com

produktnyheter 5 Alternativ til arbeidshansker i skinn Arbeidshansker i skinn og PVC beskytter ofte ikke godt nok, og noen inneholder skade lige stoffer. Med den nye Nitrotough -serien lanserer Marigold en nitrilhanske som både er Øko-Tex-merket og egnet til matvarehåndtering. Marigold vil få arbeidslivet til å tenke i nye baner ved innkjøp av arbeidshansker. Skinnhansker gir ikke brukeren beskyttelse mot olje, vann og andre væsker som lett trenger igjennom. Hanskene blir dermed kalde, stive og mindre behagelige. Dessuten er de vanligvis ikke særlig slite sterke og er kun i be skjeden grad skjære bestandige. Dette materialet gir langt bedre beskyttelse mot olje, smørefett og andre væsker enn skinn og PU, sier Merete Pedersen i Nitrotough. For mer informasjon, se univern.no Takket være den sømløse nyloninnsiden gir serien god gripeevne og fingerføling. Caps med innebygd LED-lys Ofte krever arbeidssituasjoner tilgang på ekstralys. Da er det praktisk og enkelt bare å sette en caps på hodet, betjene trykknappen under skyggen, og man har skikkelig arbeidslys i mangfoldige timer. Enklere kan det ikke bli! Capsene har 4 eller 5 LED, høyeffekt lysdioder innebygget i skyggen. Lysdiodene har strømforsyning fra fire batterier som gir lys inntil 50 timer. For mer informasjon, kontakt REBATO på telefon 55 95 17 14 eller e-post: fbklebo@gmail.com Økt sikkerhet for industribrannvern Cobra skjæreslukker er et slukkeverktøy Spesielt effektivt blir systemet som ved hjelp av vann un- i kombinasjon med et varme- der trykk (300 bar) og slipemiddel kamera. Med dette kan man raskt gjør at mannskapene kan slukke lokalisere varmen og foreta et en brann utenfra uten fare for egen «kirurgisk» inngrep utenfra med sikkerhet. Vann strålen penetrerer skjæreslukkeren. de fleste materialer på få sekunder, Med en rask innsats innebærer for eksempel 15 mm skipsstål på dette minimale skader på omtrent 30 sekunder og sender en produksjons anlegg slik at man kan meget fin vanntåke inn i brannrommet. unngå en lang og kostbar stans i Vanndampen som opp- produksjonen og ikke minst blir står fortrenger oksygen og fører industribrannvernets sikkerhet til en rask inertisering av gassene ivaretatt. i rommet. For mer informasjon, se coldcutsystems.no

6 sikkerhetsåret 2012 Sikkherhetsarbeidet blir Kriminalitetsforebyggende arbeid er krevende på minst to måter; du skal både overliste de kriminelle og overbevise sjefen. Det kriminalitetsforebyggende arbeidet vises i noen tilfeller på årsresultatet, men i mange tilfeller synliggjøres ikke arbeidet direkte hverken på topp- eller bunn linjen. Svinn og tyveri er mulig å tallfeste og gjør det lettere å få gehør hos ledelsen, men informasjons sikkerhet synliggjøres ikke så lett. Manglende synlighet øker risikoen for at det kriminalitetsforebyggende arbeidet får reduserte ressurser og prioritet. Neglisjert tillegg For det store flertallet av virksomheter kommer informasjons sikkerhetsarbeidet som en tilleggsoppgave i en allerede presset hverdag, og det er svært lett at arbeidet blir neglisjert. NSR mener at daglig leders uoppmerksomhet for informasjonssikkerhet er en av de største trusl ene mot mange virksomheter. Mister informasjon I vår siste Mørketallsundersøkelse svarte 18,2 prosent av virksomhetene at de hadde mistet datautstyr siste kalenderår. Bare 2 prosent oppga at de hadde mistet informasjon. Mange tenker at har man backup på jobben, har man ikke mistet informasjon. Det er en tanke løs tilnærming. Selv om du frem deles har informasjonen kan «Daglig leders uoppmerk somhet for informasjons sikkerhet er en av de største trusl ene mot mange virksomheter» den være verdiløs om konkurrenter eller kriminelle har fått tilgang til den. Ubevissthet I media leser vi om virksomheter som er stolte av de nettbaserte løsningene de har anskaffet. De kan fortelle at alle kan sitte hjemme i stua og jobbe. Det er ikke smart å fortelle at økonomiansvarlig kan overføre penger fra sofaen, eller at man kan styre Oslo vannverk fra senga. Det er som å invitere kriminelle på besøk, og vitner om manglende forståelse for hvor sårbar man gjør seg selv, sine ansatte og sin virksomhet. Mange næringsdrivende har passord for å komme inn på PC-en på jobben, men mottar e-postene på telefonen som er usikret. Logisk? Nei, men et bevis på ubevisstheten knyttet til informasjonssikkerhet. Åpner for svindel Virksomheter legger ut diplomer, sertifikater og virksomhetsdokumentasjon på nettet. Dette er informasjon som lett kan anvendes til svindel. Det er flere eksempler på at informasjon hentes fra nettet for å anskaffe varer og tjenester ulovlig. Hvorfor legger man da ut denne informasjonen? Det gjøres gjerne for å informere kunder og leverandører om virksomhetens fortreffelighet, men ubevisst øker man risikoen for å bli utsatt for kriminalitet. Mangler kompetanse Et annet fenomen som bekymrer er det hurtige utviklingstempoet innen IKT. Konsekvensen er at hverken bestillerkompetansen ved anskaffelser eller brukernes sikkerhetskompetanse holder tritt. Dette, sammen med det forholdet at det ikke stilles krav til de som skal drifte IKT-systemer for andre, gjør deler av næringslivet sårbart. Rundt 50

sikkerhetsåret 2012 7 lett neglisjert Næringslivets Sikkerhetsråd (NSR) er en selvstendig medlems forening som fore bygger kriminalitet i og mot nærings livet. NSR er rådgivende for medlemmene innenfor fysisk-, teknisk-, og personell sikkerhet, og er næringslivets kontaktpunkt mot myndig hetene innenfor de nevnte områder. NSR har regel messige møt er med myndighetene gjennom vårt konsultative råd bestående av Politiets sikkerhets tjeneste, Politidirektoratet, Kripos, ØKOKRIM, Nasjonal sikkerhets myndighet, Tollog avgiftsdirektoratet og Direktoratet for samfunnssikkerhet og beredskap. I det konsultative rådet møter dessuten representanter for et bredt spekter av næringslivets virksomheter, LO og YS. NSR deltar i ulike myndighets utvalg på vegne av næringslivet. NSRs administrasjon holder til på Majorstua i Oslo. Internett: www.nsr-org.no E-post: nsr@nsr-org.no Det er ikke smart å fortelle at økonomiansvarlig har hjemmekontor og kan overføre penger fra sofaen, advarer Erland Løkken i NSR. Foto: Stephan Roehl, Flickr prosent av virksomheter setter helt eller delvis ut driften av IKT-systemer til eksterne firma, men ingen sikrer kompetansen til disse. Nasjonal vitnemålsbank NSR har i mange år belyst behovet for å gjennomføre tilpassede og tilstrekkelige bakgrunnssjekker ved ansettelser. For å lette dette arbeidet sendte NSR et brev til Kunnskapsdepartementet (KD) sommeren 2010 der vi foreslo en sentral database for vitnemål som ville gjøre det trygt og enkelt å få verifisert vitnemålene til jobbsøkere. Det er med tilfredshet vi mottok en e-post fra KD rett før jul der de opplyste om at Universitetet i Oslo er blitt tildelt 250.000 kroner for å lage en kravspesifikasjon for en nasjonal vitnemålsbank. Vi gleder oss til den blir operativ. Det vil lette næringslivets arbeid ved ansettelser. Erland Løkken, direktør i Næringslivets Sikkerhetsråd AKTUELT Hvordan beskytte egen virk somhet: 14. - 15. februar, Oslo 16. - 17. oktober, Oslo Hvordan håndtere en gissel- eller kidnappingssituasjon: 6. mars, Oslo NSRs Årsmøte: 7. juni, Oslo Sikkerhetskonferansen 2012 11. - 12.september, Oslo Mer informasjon: www.nsr-org.no www.krisino.no www.morketalls- undersokelsen.no www.sikkerhetskonferansen.org NSRs stiftere:

8 sikkerhetsåret 2012 Ny metode Det har mer og mer vanlig med kameraovervåking av næringsbygg og fellesarealer. Foto: Wikipedia Veileder for kamera overvåkning Tekst: Arne Røed Simonsen asi@nsr-org.no Det har vært en trend over flere år at det blir mer kameraovervåkning av næringsbygg og fellesarealer. Etter 22. juli har denne utviklingen tiltatt ytterligere. Dessverre er det så som så med bestillerkompetansen og virksomhetens vurdering av behov og formål. Det er nok også eksempler på tilfeller der lovverket ikke er fulgt. Råd NSR har derfor tatt initiativet til å lage en enkel veileder for å vurdere behov, lovlighet, montering, anskaffelse og bruk av kameraovervåkning. Veilederen støtter seg på Datatilsynets materiale, og supplerer med råd om fysisk plassering. Hovedmomenter Det er fire hovedmomenter veilederen dekker: Lovverket knyttet til montering og bruk av kameraovervåking. Virksomhetens egenvurdering og forventninger til bruk av kameraovervåking. Tekniske løsninger, styrker og svakheter. Leverandører og kompetanse. Veilederen er ferdig rundt månedsskiftet januar-februar, og kan lastes ned fra NSRs hjemmeside. Vi må se på jobben som skal gjøres og hva vi vil oppnå før vi velger verktøy. Skrevet av Roy Stranden, CPP, Senior Manager, Ernst & Young Et verktøy er spesielt utviklet for å gjøre én type jobb mest mulig optimalt, og er derfor uhensiktsmessig til andre typer jobber. Hvis vi omtaler verktøyene mer som metoder enn gjenstander, endres oppfatningene noe. Hvorfor er det slik at vi tror at vi kan lage en metode for risikoanalyser som skal kunne passe til alt, i tillegg til at den skal være så enkel at selv bestemor kan bruke den? Vi må bort fra denne måten å tenke på. Løsningen ligger i å øke kunnskapen om hvilke typer verktøy som passer best i ulike sammenhenger, og våre ferdigheter til å bruke dem. Det betyr at vi må se på jobben som skal gjøres og hva vi vil oppnå før vi velger verktøy. Det kan også være nødvendig å ut vikle nye verktøy om de gamle ikke leng er fungerer optimalt. Dette er gjort gjennom utarbeidelsen av to nye standarder innen terminologi og risiko analyse for kriminelle og andre uønskede handlinger. Identifisér behovet Det første man må gjøre er å identifisere behovet ved å avklare noen sentrale forhold. Det må avklares om det er en tilsiktet handling, en utilsiktet hendelse, eller en kombinasjon av de to, som skal undersøkes. En annen viktig faktor er hvilken vinkling risikoanalysen skal ha. Skal den ha et strategisk fokus og se hele virksomheten under ett, eller ha et operasjonelt fokus knyttet til en oppgave, eller en enhet som for eksempel en server? Den andre faktoren som må avklares før du begynner er detaljeringsgrad. Har du lite tilgang på relevant informasjon og må fatte raske avgjørelser, eller har du tid, ressurser samt behov for å se alle relevante forhold i detalj? Jo mer detaljert du fokuserer, jo mer informasjon har du når du skal gjøre vurderingene og fatte beslutningen. Hva som er riktig for deg avhenger imidlertid av situasjonen du er i og behovet. Dette må også kommuniseres til dem som har bestilt analysen slik at de ikke forventer eller tror du kan dekke alt dette med en analyse eller en metode. Hva er risiko? Men hva er egentlig risiko? En pragmatisk måte å beskrive dette på er å se på risiko som en øy i en øygruppe. De ulike definisjonene er forskjellige, men likevel så hører de sammen. Mens de aller fleste bruker faktorene konsekvens og sannsynlighet for å si noe om risiko er dette ikke spesielt hensiktsmessig innenfor kriminalitet og andre uønskede handlinger. Den viktigste årsaken er at matematiske modeller eller historikk ikke gir et riktig bilde av trusselen. Vi må bruke andre metoder som etter-

sikkerhetsåret 2012 9 for risikoanalyse Hvorfor er det slik at vi tror at vi kan lage én metode for risikoanalyser som skal kunne passe til alt, i tillegg til at den skal være enkel? spør Roy Stranden. Figuren illustrerer et eksempel på risikoanalyse som en del av risikohåndteringsprosessen. retning og innhente informasjon som kan si noe om intensjon og kapasitet. Verdi og trussel Standarden som nå sendes ut på høring er én i en serie som alle adresserer behovet for blant annet terminologi og metoder som er spesielt tilegnet sikringsfaget. Det som skiller denne metoden fra andre risikoanalyser er ikke nødvendigvis bare at den vurderer tre ulike faktorer, nemlig verdi, trussel og sårbarhet. Den legger til grunn at etterretning skal skaffe til veie informasjon om trusselaktører og deres modus operandi, samt at risiko skal uttrykkes på en annen måte enn ved å bruke sannsynlighet og konsekvens. Standard på høring En avgjørende faktor i dette arbeidet har vært forankringen og samarbeidet mellom sentrale aktører i sikkerhetsbransjen. Arbeids gruppen har bestått av representanter fra Nasjonal sikkerhetsmyndighet, Politiets sikkerhetstjeneste, Forsvarsbygg, Ernst & Young, samt Næringslivets sikkerhetsråd og Statoil. Det vil bli sendt ut høringsutkast til mange sentrale aktører innenfor både privat og offentlig sektor, i tillegg til universiteter og høyskoler. Vi oppfordrer alle som ønsker og som mener de kan bidra til å involvere seg til å komme med høringsinnspill. Høringsutkastet kan lastes ned fra Standard Norges hjemmesider.

10 sikkerhetsåret 2012 «Det er sannsynlig at noe usannsynlig vil skje» Aristoteles, 384 322 f.kr. Identifisér krisen Seks faktorer er sentrale for vellykket krisehåndtering: Ledelse og kapasitet, informasjon og media, rolleforståelse, og hånd tering av berørte. Skrevet av manager Roger Kolbotn og direktør Knut Erik Friis, PwCs granskingsenhet En rekke hendelser har satt søkelyset på evnen til å kunne forebygge, forberede og håndtere kriser. Det er enklere å forberede seg på velkjente hendelser enn situasjoner som oppleves som teoretiske. Neste krise er som regel helt annerledes. Dette gir en risiko for å bli tilbakeskuende og hendelsesbasert i tilnærmingen til nye situasjoner. Nøkkelen er å utvikle årvåkenhet for å kunne identifisere nye potensielle kriser, erkjenne skade potensialet og handle deretter. Mange kriser blir først identifisert når virksomheten står med begge beina plantet i hendelsen og er på etterskudd med å etablere tiltak. Krisehåndtering Så hva er en krise? Sårbarhetsutvalget ledet av Kåre Willoch benyttet et utvidet krisebegrep: «Krise er en hendelse som har potensial til å true viktige verdier og svekke en organisasjons evne til å utføre viktige funksjoner». Definisjonen peker mot at hendelsen overstiger normal hånd terings evne og truer organisasjonens omdømme, økonomi eller andre faktorer av betydning for fremtidig virksomhet. Krisehåndtering vil slik være summen av tiltak som må iverksettes fra hendelsen inntreffer til ny normalsituasjon eller stabil situasjon er opprettet. Kriser innebærer ulike utfordringer og må håndteres deretter. Aggregert sett er det likevel noen faktorer som peker seg ut av sentral betydning for en vellykket krisehåndtering: Ledelse og kapasitet Virksomheten må ha en forberedt og gjennomtenkt ramme for etablering og organisering av ledelse eller kriseledelse i en ekstraordinær situasjon. Virksomheten må raskt få oversikt over hvilke kapasiteter som er nødvendig for å håndtere en hend else, hvilke kapasiteter som er tilgjengelige og hvilke som må innhentes. I den innledende planleggingen og ressurstildelingen må det tas utgangspunkt i at hendelsen vil ta tid å håndtere. Informasjon og media Det er en generell oppfatning at omdømmet ved mange kriser i større grad påvirkes av hvordan krisen håndteres, enn av selve krisen. Medietrykket har utviklet seg enormt. Det er i dag knyttet store utfordringer til å ivareta informasjonsbehov og sikre at budskapet når viktige målgrupper. En synlig og aktiv ledelse kan synliggjøre at virksomheten tar situasjonen alvor lig Pricewaterhouse- Coopers (PwC) PwCs granskingsenhet bistår en rekke virksomheter med håndtering av hendelser som virksomhetene betrakter som mulige omdømmekriser. Bistår også med: risikokartlegging, beredskapsplanlegging å kartlegge og evaluere håndtering av kriser og setter inn ressurser for å løse situasjonen. Feil kan tilgis, ikke passivitet. Rolleforståelse Dersom en krise involverer flere invol verte parter eller virksomheter, er det viktig at virksomheten definerer egen rolle og ansvar ved krisehåndteringen og posisjonerer seg i forhold til de øvrige involverte. Virksomhetens forståelse av rolle og ansvarsområde må så langt som mulig kommuniseres og samordnes med øvrige involverte. Dette reduserer usikkerhet og spekulasjon om at situasjonen ikke håndteres forsvarlig. Håndtering av berørte Virksomhetens oppfølging av berørte og eventuelle pårørende er en viktig faktor som kan være avgjørende for virksomhetens omdømme. Hovedmålet vil være å yte riktig hjelp og støtte ved en hendelse og å sikre god oppfølging i etterkant.

sikkerhetsåret 2012 11 Kidnappings over levelse 14. januar ble en nordmann kidnappet i Jemen. Olav Ofstad gir råd om hvordan man bør takle kidnappinger. Faksimile Dagsavisen 16.01.2012 Formålet med kidnapping varierer, fra pengeutpressing til politisk propaganda, gisseltaking for å unnslippe etter ran eller begå seksuelle overgrep og annen vold. Kidnapping til sjøs er et kjent fenomen, mens et tilsynelatende voksende problem er såkalt Tiger Kidnapping, hvor næringslivsledere eller deres familiemedlemmer blir kidnappet for pengutpressing. Varigheten av kidnapping kan variere fra noen få timer til mange år. Mens flertallet av kidnappingsofre overlever, kommer mange ut av det med varige traumer. Å bli kidnappet et voldsomt sjokk. Selve kidnappingssituasjonen er ekstremt forvirrende, og «hverdagen» som kidnappet innebærer en rekke stressfaktorer. Hvordan vi forholder oss i slike situasjoner, gjør en stor forskjell. Å overleve kidnapping Gjennom min forskning på kidnapping har jeg funnet at mulighetene for forberedelse er generelt dårlig utnyttet. Skrevet av Olav Ofstad, uavhengig konsulent og forsker Som i så mange andre sammenhenger er vår evne til hensikts messig adferd avhengig av forberedelse. Dette gjelder både overlevelse og traumeforebygging. Under min forsk ning på temaet har jeg funnet at mulighetene for adekvat forbered else på kidnapping er generelt dårlig utnyttet. Sosialpsykologi Grupper eller foretak som er utsatt for kidnappingsrisiko, søker ofte ikke hjelp til forberedelse, eller de begrenser forberedelsene til hva man bør gjøre for unngå kidnapping. Et antall sikkerhetsforetak tilbyr i dag trening i kidnappingsover levelse. Dette er i utgangspunktet en positiv utvikling, men treningen som tilbys holder generelt ikke den standarden som trengs. Å forholde seg adekvat til kidnappere er i hovedsak et spørsmål om anvendt sosialpsykologi (hvordan vi påvirker hverandre), og denne vitenskapen er dessverre spinkelt representert i overlevelsestrening. Misvisende og farlige råd En av de større aktørene innen slik trening, har følgende råd på sin nettside: «Do not discuss religion with the kidnappers». En senior militæroffiser som holdt trening for FN/Ngo-personell i Syd-Øst Asia, fortalte deltagerne: «I cannot see why you cannot ask the kidnappers for anything you want. The worst you can get is a no». Slike råd er ikke uvanlige. Mens det første rådet er misvisende og kan bety tapte muligheter, er det andre i verste fall farlig. Det faktum at sikkerhets instruktør er stort sett unngår sosial psykologi kan også innebære at de unngår feil, men det betyr generelt redusert utbytte av treningen. Sosialpsykologi 6. mars holder Næringslivets Sikkerhetsråd kurset «Hvordan håndtere en gissel- eller kid nappings situasjon». Dette kurset innebærer en litt annen tilnærming til temaet, og inkluderer viktig praktisk veiledning, som smart adferd i de forskjellige faser av kidnappingen, og bekyttelse mot vold etc. Imidlertid tar kurset i tillegg sosial psykologien på alvor. Det tar for seg hvordan vår interaksjon med kidnappere funger er, og hva vi kan gjøre som ofre for å forbedre situasjonen og øke sjansene for et best mulig resultat. Dette inkluderer en rekke påvirkningsfaktorer og teknikker. Enkelte av disse vil kanskje gjenkjennes fra andre situasjoner, og andre bruk er vi til dels ubevisst. Noen av de viktigste psykologiske redskaper er imidlertid ukjent for de fleste. Et hovedformål med kurset er at deltagerne skal oppnå en klar forståelse av disse redskapene, ta dem med seg fra kurset og være i stand til å bruke dem hvis det verste skulle skje.

12 sikkerhetsåret 2012 Nødvendig med god kommu For en virksomhet er det avgjørende å ha en god plan for krisekommunikasjon som ivaretar forholdet til mediene. Skrevet av Svein Holtan, spesialrådgiver Gambit Hill&Knowlton Svært ofte baserer vi vår mening på det mediene forteller. Men de færreste mennesker som danner seg en mening om en pågående krise eller krisehåndtering er direkte involvert. For en virksomhet er det derfor avgjørende viktig å ha en god plan for krisekommunikasjon som ivaretar forholdet til mediene, men som ikke er avgrenset til kun mediene. En virksomhet har mange interessenter som man må forholde seg til og kommunisere med for å lykkes i krisehåndteringen: de som er berørt av hendelsen, egne ansatte, eiere, samarbeidspartnere, myndighetsorganer, osv. En god kommunikasjonsplan ivaretar forholdet til alle disse. Å måtte håndtere pressen under en krise er utfordrende, men nødvendig. I etterkant av angrepene på Utøya og regjeringskvartalet 22. juli 2011 var regjeringen tidlig ute med å stille opp på pressekonferanser. Her møter utenriksminister Jonas Gahr Støre pressen dagen etter angrepene. Foto: Mathias Rongved, UD Nye trusler i 2012? Alle virksomheter kan bli utsatt for kriser og kriselignende situasjoner. Enten som følge av uhell eller som konsekvens av bevisste handlinger. Listen over mulige hendelser kan gjøres lang: brann i egne lokaler, ulykke der flere ansatte omkommer, underslag, uetisk atferd, kriminelle handlinger. Det kan slås fast at norske bedrifter og virksomheter vil bli utsatt for en rekke hendelser også i 2012. Vi kommer til å lese om det i avisene og på nettet hver dag. Noen håndterer krisen godt og kommer seg videre. Andre går overende, noen ganger hovedsakelig på grunn av dårlig mediehåndtering. Overrasket hver gang Mange hevder at det var langt enklere å være sjef den gang pressen var enklere å ha med å gjøre. Men allerede i 1914 skrev Gudmund Schnitler følgende i boken Strategi: «Sjefens handlefrihet kan bli sterkt påvirket av den offentlige mening og dennes talerør: pressen ( ). Han kan komme i en uheldig stilling, hans virksomhet bli sterkt hemmet, når han ved enhver anledning skal gi regnskap for sine handlinger og hensikter.» Aksepter utfordringen At det er kommunikasjonsutfordringer i kriser så vel som daglig drift er med andre ord ingen nyhet. Derfor er det oppsiktsvekkende at ledere fremdeles står frem i etterkant av en hendelse og sier de er

sikkerhetsåret 2012 13 nikasjon Fem suksessfaktorer: Vær raskt ute med informasjon Kommuniser empati tidlig Vis kompetanse og ekspertise Opptre ærlig og åpent Vær tilgjengelig for pressen overrasket over medietrykket og mediefokuset som tok fra dem natte søvn og kreftene som skulle gå til å håndtere situasjonen. For til tross for at alle virksomheter kan utsettes for hendelser er det svært mange som ikke har et bevisst forhold til krisekommunikasjon og som ikke har en plan for slik kommunikasjon og krisehåndtering. Den største trusselen i 2012 er derfor at en del bedrifter og ledere fortsatt ikke aksepterer at kommunikasjon i seg selv er en utfordring og et kompetanseområde, og som bør inngå som en integrert del av virksomhetens løpende planer og kriseplaner. Mange trusler for ansatte Satsing på HMS er fraværende der den svarte økonomien rår. Skrevet av Svein Vefall, rådgiver i LO Et stort og voksende problem er svart økonomi. Det som har fått en viss oppmerksomhet er blant annet innen renholdsbransjen og serveringssteder, hvor fagbevegelse sammen med politi, skattemyndigheter, Mattilsynet og Nav har avdekket en rekke kriminelle forhold. Ingen HMS Dessverre er det ikke sjeldent at de som blir tatt er på gang igjen etter kort tid på samme eller et nytt sted. Der svart økonomi er utbredt finner vi også de verste brudd på lovgivningen som skal beskytte arbeidstakerne. Satsing på HMS er fraværende der den svarte økonomien rår. Utnyttelse av mennesker Det er en kjensgjerning at innenfor flere bransjer forekommer en underbetaling og grov utnyttelse av mennesker som enten kommer til Norge for å søke arbeid eller er sendt hit som slaver. Dette finner man ikke minst i de bransjene som tidligere nevnt under svart økonomi. I tillegg er bygg og anleggsbransjen svært utsatt. Farlige klienter Offentlige ansatte ved eksempelvis Nav, legekontorer og barnevernet utsettes for risiko på grunn av klienter som er ustabile eller ruset. Raske kontanter Ran og tyveri vil også i 2012 prege mange bransjer. Der det finnes kontanter, finnes det også kriminelle. Ranerne er ute etter raske kontanter. Ofte er det unge og få ranere som opererer sammen. Her er det de som i tillegg spesialiserer seg på å stikke fra regningen på bensinstasjonene. Ny trend er de som tømmer tankanlegg. Dette skjer både i og utenfor arbeidstid. Traumatisering En forholdsvis ny trend er omreisende kriminelle som utfører sjokkbrekk. Dette har stort sett vært utenom åpningstid. I tillegg har det kommet de som utfører samme handlinger i åpningstid, ofte brutalt utført. Gull- og urmakerforretninger er spesielt utsatt. Alt i alt er det snakk om store summer involvert, men for LO og forbundene handler det like mye om traumatiseringen de ansatte utsettes for. Opplæring i sikkerhetsrutiner LO mener at bransjene må samarbeide med politi og myndig hetene. Overtredelser av lovverk må anmeldes og ansatte må gis grundig opplæring i sikkerhets rutiner. Også ansatte som leies inn som vikarer eller som jobber deltid. Sikkerhetsrutinene må gjennomgås jevnlig og møte det til enhver tid gjeldene trusselbildet. Ansatte som blir utsatt for ran, vold eller annen kriminalitet på jobben må følges opp av kvalifisert helsepersonell og bedriftene må sørge for å ha rutiner for dette. Det er viktig at de ansatte blir lyttet til hva angår hvilke sikkerhetsrutiner som skal gjelde på den enkelte arbeidsplass.

14 sikkerhetsåret 2012 Åpne nettverk gir Virksomheter får stadig mindre kontroll over ende punktene i sine datanettverk. På sikkerhetssiden gir det mange nye utfordringer. Tekst: Norman ASA Trenden som gjerne kalles «BYOD» (Bring Your Own Device) innebærer at medarbeiderne i økende grad medbringer eget utstyr, som smarttelefoner, nettbrett og bærbare PC-er, og knytter seg til bedriftens nettverk. Større utbredelse av gjestenett for kunder og andre be søkende er en annen utviklingstrend som bidrar til redusert endepunktkontroll. Det samme gjelder datastyrte produksjonssystemer som tilknyttes virksomhetens intranett for å øke effektiviteten, og leverandører som kobler seg rett inn i virksomhetens kritiske datanett for å vedlikeholde systemene. Denne utviklingen har mange fordeler for virksomhetene, i form av blant annet bedre kundeservice, fornøyde medarbeidere, forenkling av rutiner og enklere vedlikehold av datatjenester. Dårlig forberedt Christophe Birkeland, teknologidirektør hos Norman ASA, forstår godt at mange virksomheter utnytter teknologien og trendene beskrevet overfor. Imidlertid ser vi at mange er dårlig forberedt på den økte sikkerhets risikoen som oppstår når man ikke lenger har kontroll over endepunktene. Kravene skjerpes til nettverksovervåkning, analyse og tiltak overfor truslene, understreker teknologidirektøren. Er det mulig å få fullt utbytte av teknologiens muligheter for samhandling og samtidig holde et tilfredsstillende sikkerhetsnivå? Svaret er ja, men det forutsetter at man har en god sikkerhetsarkitektur med inndeling i soner, kombinert med riktige verktøy for nettverkssikkerhet og riktig kompetanse i eget hus. Gjestenett bør for eksempel etableres som helt

sikkerhetsåret 2012 15 Viktige krav til verktøy for nettverkssikkerhet Utviklingen gjør at kontrollen over endepunktene i nettverket blir stadig dårligere. Det gir nye sikkerhetsutfordringer, sier teknologidirektør Christophe Birkeland i Norman. Ansatte som bruker eget usikret utstyr til jobb, gjester som får tilgang til bedriftens nettverk og leverandører som kobler seg på virksomhetens datanett utenfra, er løs ninger som gir økt risiko. Birkeland anbefaler inndeling i soner for ulike maskiner/ bruk ere, samt nøye overvåkning og umiddelbar analyse av funnene, for å minske faren for ødeleggende ormer o.l. Montasje: Ingeborg Altern Vedal høy risiko Evne til å oppdage og stoppe malware i nettverket Enkel installasjon og konfigurasjon Sikkerhet og robusthet slike komponenter installeres som regel in-line med dertil krav til oppetid og stabilitet Ytelse må håndtere datanettverk med stor båndbredde uten at datatrafikken påvirkes Viktige krav til verktøy for malwareanalyse Høy deteksjonsevne; kombinasjon av flere teknologier for å oppdage og analysere alle typer malware Skalerbarhet for å kunne håndtere store mengder filer Integrasjon: verktøyet må lett kunne tilpasses ulike miljøer og løsninger Brukervennlighet separate nettverk. Datatrafikk fra enheter man ikke har kontroll over må overvåkes spesielt nøye. Uansett bransje, systemer og omfang av eksterne brukere og enheter, er gode overvåkings- og analyseverktøy sentralt for å holde sikkerhetsnivået oppe, poengterer Christophe Birkeland. Infisert av malware I praksis betyr det løsninger som analyserer datatrafikken og umiddelbart fanger opp og stopper trusler, uten at dette forsinker trafikken. Hvis en enhet som befinner seg på innsiden av brannmurene er infisert av malware (skadevare eller ondsinnet kode) er det avgjørende at sikkerhetsløsningene blokkerer datatrafikken fra den aktuelle enheten umiddelbart. Birkeland understreker at datatrafikken må analyseres i sanntid slik at ikke prosessene forsinkes av analysen som utføres. Hos Norman har vi arbeidet mye med disse utfordringene, og lyktes med å utvikle robuste løsninger for nettverkssikkerhet som kan håndtere datanettverk med stor båndbredde uten at det påvirker nettverkets ytelse, sier han. Svakheter i eget system Birkeland mener mange organisasjoner burde hatt høyere kompetanse og bevissthet på sikkerhetsområdet internt i organisasjonen, også med tanke på å håndtere sikkerhetshendelser. Det er ikke mulig å sikre seg 100 prosent mot alvorlige sikkerhetshendelser. Derfor må bedrifter og organisasjoner av en viss størrelse ha kunnskap og evne til å analysere filer og mistenkelige dokumenter som oppdages i egne systemer. Med brukervennlige analyseverktøy kan stadig flere oppdage, forstå og analysere trusselen fra malware, og dermed øke sikkerhetsnivået i egen virksomhet. Ved hendelser vil slike analyser bidra til å avdekke eventuelle svakheter i egne systemer, hendelsesforløp og konsekvenser samtidig som de kan brukes til å identifisere løsninger for å gjenopprette sikre systemer, forklarer Birkeland.

16 øvelser Full alarm på Nortura Brannvesen, politi og ambulanse var alle til stede under Norturas beredskapsøvelse. Tekst: Karoline K. Åbyholm, NSO karoline.abyholm@nso.no 24. november kl. 09.00 gikk alarmen ved Nortura på Andslimoen i Målselv, Troms. Det var påvist ammoniaklekkasje og en person var savnet i området. I tillegg var det en brann på ullageret hvor det var to savnede personer. Heldigvis var alt bare en øvelse. Kjemikalieøvelse på Follum 9. november utførte industrivernet på Norske Skog Follum en øvelse hvor temaet var kjemikaliedykking. Det ble øvet innsats mot en tenkt lekkasje i en beholder på kjemikalielageret. Det ble gjennomført søk, redning og brannslukking. I forkant av øvelsen hadde personell fra brannvesenet gjennomført under visning for industrivernmannskapene. Vi hadde som mål å utvikle et allerede godt samarbeid enda bedre, forteller industrivernleder ved Follum Arild Kristoffersen. Øvelsen var en felles øvelse mellom Follum Fabrikker og Ringerike Brannvesen. Follums kjemikaliedykkere gjøres klar til kjemikalieinnsats. Foto: Norske Skog Follum Vi er pålagt å øve minst 12 timer i året og en av disse øvingene skal være en stor øvelse, forteller industri vern leder Harald Brenna til Folkebladet. 5-6 minutter etter at alarmen hadde gått, kom brannvesen, poli ti og ambulanse på

øvelser 17 Dramatisk ved Celsa En vedlikeholdsarbeider hadde falt ned fra en krandrager, og hang i luften etter fallsikringsutstyret sitt. Tekst : Mo Industripark AS To kjemikaliedykkere ble sendt i ammoniakkområdet og tre røykdykkere i brannområdet. Alle foto: Nortura Det var meldt om totalt tre savnede, men alle kom heldigvis til rette. Stort bilde: Under Norturas øvelse ble det øvet på ammoniaklekkasje, brann og flere savnede personer. plass. To kjemikalie dykkere ble sendt i ammoniakkområdet og tre røykdykkere i brannområdet. Det hele ble ekstra dramatisk da en av røykdykkerne svimte av, men til slutt kom alle de savnede til rette. Dette var scenarioet som møtte industrivernet ved Celsa og MIP Sikkerhetssenter da de torsdag 24. november gjennomførte en realistisk øvelse i Celsas lokaler. Dette var en ikke-varslet øvelse, som innebar et verken industrivernet på MIP Sikkerhetssenter eller Celsa Armeringsstål var varslet om tidspunkt og innhold i øvelsen på forhånd. Øvelsen var planlagt av industrivernleder Eli Anita Åstrøm, Celsa og kurskoordinator Asle Hjartøy ved MIP Sikkerhetssenter. Dramatisk melding Caset var at en vedlikeholdsarbeider hadde falt ned fra en krandrager, og hang i luften etter fallsikringsutstyret sitt. Vedlikeholdsarbeideren var i dette tilfellet erstattet med ei dukke. I utgangspunktet er dette en meget dramatisk melding, og det ble slått alarm på industrivernet i MIP ved Celsa Armeringsstål, sier sikkerhetssjef Richard Erlandsen i Mo Industripark AS. Han forteller at begge parter var raskt fremme på skadestedet. I samarbeid ble det iverksatt en imponerende redningsaksjon. 11 minutter etter ankomst var markøren brakt ned på bakken, lagt på en båre og gjort klar for transport til sykehuset, sier Erlandsen. Applaus I evalueringen etter øvelsen fikk innsatspersonellet app laus for gjennomføringen. Kommunikasjonen fungerte bra, og egensikringen ble godt ivaretatt. Vi vet at fallulykker kan skje. Da er det betryggende at vi får bekreftet at organisasjonen er rustet med egen tauredningsgruppe for å takle slike situasjoner, sier HMS-koordinator Tore Aasen ved Celsa Armeringsstål AS, som var raus i sine tilbakemeldinger til innsatsperson ellet i begge bedrifter. Richard Erlandsen opplyser til MIPs informasjonsblad Gule Sider at det planlegges seks industrivernøvelser for 2012 der redning etter fallulykker nettopp er tema. Da kan vi kanskje konkludere med at denne delen av beredskapen er godt ivaretatt, sier Erlandsen.

18 innhogg Industrivernpersonell er ikke Industrivernpersonell beskyttes av Genèvekonvensjonen på lik linje med sivilforsvarspersonell, men kan det da utføre sikrings oppdrag etter ISPS-forskriften? På NSOs fagseminar 2011 bekreft et seniorrådgiver Elin Olsen fra Direktoratet for samfunnssikkerhet og beredskap at industri vernpersonell beskyttes av Genèvekonvensjonen på lik linje med sivilforsvarspersonell. ISPS førte til rasjonalisering Dette har jeg vært opptatt av i de 25 årene jeg har vært industriverner. Det fikk økt aktualitet etter at ISPS internasjonalt krav om havne sikring ble gjort gjeldende fra 1. juli 2004, fordi mange da så muligheten til å rasjonalisere. Industri vern pliktige virksomheter som også måtte etter leve krav om ISPS-sikring kunne bruke industrivern personell som en ressurs til å løse sikringsoppgaver. Oljeindustriens landsforbund beskriver industrivernet som vaktog sikringsressurs allerede i 2003 i retningslinje 091 for sikring av forsyninger og materiell i olje- og gassindustrien, og beholdt det i revidert utgave i september 2011. «Bruken av redningshelikoptrene og bruk av industrivern personell som sikringsstyrke kan føre til at disse blir oppfattet som motstandere og dermed lovlige mål» Kan oppfattes som mål Følgende står i Justis- og beredskapsdepartements utredning Prop. 91 L (2009-2010) til Lov om kommunal beredskapsplikt, sivile beskyttelsestiltak og Sivilforsvaret, kap. 3.4 forholdet til Genèvekonvensjonen: «Sivilforsvarets oppgaver og rettig heter i krigstid er folkerettslig regulert gjennom de fire Genèvekonvensjonene av 12. august 1949, med to tilleggsprotokoller av 1977.» Forutsetningen for at Sivil forsvaret skal anses som en sivilforsvars organisasjon etter Protokoll I art. 61, og dermed ha rettigheter og plikter i samsvar med dette, er at «organisa sjonen er godkjent av kompetent myndighet og at den utelukkende beskjeftiger seg med sivilforsvarsoppgaver slik disse er definert i protokollens bestemmelser». Det bør derfor ikke herske tvil om at industrivernpersonell ikke kan påta seg eller pålegges sikringsoppgaver for eksempel i forhold til ISPS, og samtidig gjøre krav om beskyttelse under Genève-konvensjonen. Industrivernpersonell brukt på denne måten vil kunne oppfattes som lovlige mål. Man kan selvsagt spørre hvilken rolle Genève-konvensjonen har i vår tid, hvor krigstilstand virker fjern for de fleste. Jeg mener det er viktig å være prinsipiell og ha ordnet oppfatning av slike saker før det måtte hardne til. Ikke sikringsressurs Det kom uttalelser fra politikerhold like etter 22. juli om at vi må utnytte alle tilgjengelige ressurser, derav Luftforsvarets redningshelikoptre (som er merket «Rednings tjeneste») til utflyging av politiets beredskapstropp og/eller personell fra Forsvarets spesialkommando i offensive operasjoner. Hvem kan se når redningshelikoptrene flyr redningsoppdrag og når de flyr offensive oppdrag? Det er viktig å huske at krigens

innhogg 19 sikringsressurs Sivilforsvaret Sivilforsvaret er i fredstid en norsk statlig forsterkningsressurs for nød- og redningsetatene ved større ulykker og naturkatastrofer. I krigstid skal Sivilforsvaret beskytte sivilbefolkningen mot skader ved krigshandlinger. I tillegg til hjelpemannskaper har Sivilforsvaret i krisesituasjoner ansvar for informasjon til sivilbefolkningen, varsling med sirener, drift av tilfluktsrom og evakuering. Sivilforsvaret er underlagt Direktoratet for samfunnssikkerhet og beredskap (DSB). Sivilforsvarets internasjonale merke, som markerer sivilforsvarspersonell beskyttet av Genève-konvensjonen på tilsvarende måte som Genfer-korset beskytter sanitetspersonell. ISPS Det bør ikke herske tvil om at industrivernpersonell ikke kan påta seg eller pålegges sikringsoppgaver for eksempel i forhold til ISPS, og samtidig gjøre krav om beskyttelse under Genève-konvensjonen. Industrivernpersonell brukt på denne måten vil kunne oppfattes som lovlige mål, skriver Leiv Prestegård. Bildet er fra et tidligere Grunnkurs i innsatsledelse. Foto: NSO arkiv International Ship and Port Facility Security (ISPS) er et tillegg til Safety of Life at Sea (SOLAS) konvensjonen fra 1974, som fastlegger minimumstiltak for sikkerheten på båter, havner og statlige myndigheter. Formålet med forskriften er å forebygge og forhindre terrorhandlinger og andre forsettelige ulovelige handlinger som kan havner, havneterminaler eller fartøy som anløper disse. Forskriften trådte i kraft i 2004. lover beskriver såkalte lovlige mål. Denne bruken av redningshelikoptrene og bruk av industrivernpersonell som sikringsstyrke kan føre til at disse blir oppfattet som motstandere og dermed lovlige mål. Hva har industrivernpersonell å sikre og verne seg med under utøvelse av sikringsoppdrag? For meg er det derfor helt klart at industrivernpersonell ikke kan benyttes som sikringsressurs for eksempel ved høynet ISPS-beredskap. Jeg synes det er beklagelig at den nye sivilbeskyttelsesloven ikke markerer forholdet mellom Sivilfor svaret og industrivernet mer tydelig. «Kompetent myndighet» burde ha benyttet loven til å «godkjenne» industrivernet. Leiv Prestegård Leiv Prestegård (født 1948) er utdannet adjunkt fra Bergen lærerskole, vernepliktig major med internasjonal tjeneste. Industrivernleder siden 1986, sikringsleder og PFSO på Coast Center Base AS (CCB).

20 NSO mener Risikovurdering må planlegges I Forskrift om industrivern fastsatt 20.12.2011 er 5 Risikovurdering en svært sentral paragraf. I paragrafen heter det blant annet: «Virksomheten skal gjennomføre og dokumentere en risikovurdering og på denne bakgrunn utarbeide en oversikt over hvilke uønskede hendelser som kan inntreffe. Denne oversikten skal benyttes som beslutningsgrunnlaget for organisering og dimensjonering av industrivernet». Når jeg ønsker å kommentere denne paragrafen spesielt, er det fordi den danner grunnlaget for all industrivernberedskap. Viktig risikovurdering Industrivernet skal tilpasses konsekvensene av de uønskede hendelsene som kan oppstå. For å finne de mulige uønskede hendelsene må det gjennomføres en risikovurdering. Det er de hendelsene med alvorlige konsekvenser de som krever spesielle ferdigheter og som den enkelte ikke selv kan ta seg av alene eller med bistand fra en kollega som må ha fokus ved tilpasningen av industrivernet. Det stilles ikke spesielle krav til metode for kartlegging og vurdering av risikoforholdene utover at den skal resultere i en oversikt over virksomhetens uønskede hendelser. Det er ingen minstekrav med hensyn til tidsbruk, antall deltakende personer, kompetanse etc. Vi vil likevel ut fra erfaring anbefale å benytte Risikovurdering er grunnlaget for all industrivernberedskap. Norsk standard NS 5814:2008 som veiledning for gjennomføringen. NS 5814 gir gode føring er og anbefalinger, men krever som alle andre «bruksanvisninger» at den leses før oppstart og her er vi som regel ikke spesielt gode. Må planlegge Det kan sies mye om selve gjennomføringen av en risikovurdering. Vi starter ofte prosessen for raskt, før viktige forhold er avklart, og kommer derfor fort opp i uforutsette problemer. Risikovurdering må planlegges. Som oftest er det for lite fokus på oppstarten, noe som vil kunne påvirke resultatet negativt. Forhold som bør avklares i planleggingen er: Målet med risikovurderingen og hvilke typer risiko som skal vurderes Mandatet for og organiseringen av arbeidet bør være godkjent av oppdragsgiver Deltakernes kompetanse blant annet kunnskap om analyseobjektet bør avklares Valg av metode Beskrivelse av analyseobjektet Når du har gjennomført en god planlegging, vil risikoanalysen og den påfølgende risiko evalueringen være trinn 2 og 3. Dersom du benytter NS 5814 vil ovennevnte forhold med flere gi deg før inger for en god prosess for å finne fram til de uønskede hendelsene. Trygve Olav Finsal, direktør, Næringslivets sikkerhetsorganisasjon

Risiko og regelverk Som erstatning for det tidligere industrivernlederkurset tilbyr NSO nå to seminarer. De skal imøte komme de faglige behovene for industrivernleder: Risiko og regelverk. Tekst: Harald J. Bergmann, NSO harald.bergmann@nso.no Både HMS-forskriften og forskrift om industrivern krever at virksomheten kartlegger og vurderer sine risi koer. Mange tror at en vernerunde eller et brannsyn er det samme som en risikovurdering. Det er det ikke! En ordentlig risikovurdering betyr at risikoene både må kartlegges, analyseres og evalueres. En må ha tenkt gjennom hvilke konsekvenser som er «alvorlige» og hvilke som er «katastrofale». På samme måte må en bestemme seg for hva det betyr at en hendelse kan skje ofte eller sjelden. Er det flere ganger i året eller er det hvert tyvende år? Først risiko, så industrivern Merk at seminarene kan tas uavhengig av hverandre, men for dem som er ganske nye i beredskap, er det fornuftig å ta risikoseminaret først. Risiko ene legger nemlig grunnlaget for hva slags industrivern man må ha. De bestemmer også hva slags utstyr man må ha, hva slags kvalifikasjoner personellet må ha, hva de skal øve på og så videre. Dét er det faglige innholdet i det andre seminaret. Vi ser på 2012 som et prøveår, og kommer til å justere planene for 2013 i forhold til det vi erfarer i år. Blir det god deltakelse på seminarene i Sandnes, Ålesund, Tromsø og Bergen kan vi vurdere å legge flere i byer der veien til Gardermoen blir for lang. Målet er at folk skal kunne komme seg til og fra på samme dag. Se også siste side og nettstedet nso.no. Risikovurdering Det ene dagsseminaret er om risikovurdering. Det skal gi innsikt i prosessen med risikovurdering, forklare de ulike begrepene som blir brukt og hvordan man kan komme fram til et sett uønskede hendelser for sin bedrift. Dette dags seminaret skal ikke gjøre deltakeren topp kvalifisert i risiko vurdering, til det er tiden altfor knapp. Men det vil gjøre industrivernleder trygg på at de hendelsene han griper fatt i, er de riktige til å dimen sjonere beredskapen etter, sier rådgiver Steinar Farstad i NSO (bildet). Beredskapsforskriften Det andre dagsseminaret skal vise hvordan en industrivernleder som sitter med oversikten over de uønskede hendelsene foran seg, skal ta tak i disse. Oppgaven er å lage et robust industrivern som forsvarlig og effektivt er i stand til å begrense de konsekvenser uønskede hendelser kan få for liv, helse, miljø og materielle verdier og å bidra til rask normalisering. Fra risikovurderingen må industrivern leder kunne ta ut et knippe hendelser som det er vanskelig å forebygge fullt ut, for så å dimen sjonere industrivernet i forhold til disse. Da er industrivernet organisert samsvar med kravene i forskriften, sier seniorrådgiver Ole K. Stubben, NSO (bildet). i NSO-fokus 21 Orientering NSO har sendt et informasjonsskriv til alle industrivernpliktige virksomheter: «Orientering om ny forskrift om industrivern fra 1. januar 2012, videreføring av industrivernplikten for Deres virksomhet og fastsetting av beredskapsnivå og forsterkninger.» Som vedlegg følger trykte versjoner av forskriften og veiledningen til forskriften. Alle gamle vedtak opphevet Ved ikrafttredelse av ny forskrift ble den tidligere forskrift en opphevet, og det ble også alle vedtak om industrivern som var fattet med hjemmel i den forskriften. I brevet informerer NSO virksomheten om at den etter NSOs mening kommer inn under den nye forskriften og dermed fortsatt er industrivernpliktig. Etter de tidligere retningslinjene var virksomhetene delt inn i fire beredskapsklasser. Den nye forskriften legger opp til en todeling av virksomhetene; kapittel 2- og kapittel 3-virksomheter. NSO mener at de som tidligere var i beredskapsklasse 3 eller 4, nå blir kapittel 2-virksomheter, mens de som tidligere var i beredskapsklasse 1 eller 2, nå blir kapittel 3-virksomheter. Uenig med NSO? Dersom virksomheten mener at den nå ikke er industrivernpliktig eller skal plasseres i et annet beredskapsnivå enn NSO foreslår, må dette tas opp med NSO så hurtig som mulig, og helst innen 15. februar. Bruk e-post nso@nso.no.