605-Sikkerhet.book Page 36 Friday, October 26, 2007 12:32 PM DEL B SIKKERHETSTILTAK Kapittel 3 IKT-sikkerhet Dette er nytt Etter å ha lest dette kapitlet skal du kunne - bruke IKT-redskaper i samsvar med krav til sikkerhet og foreslå tiltak som hindrer uautorisert tilgang gjennom interne og eksterne kanaler Innhold 3.1 Hva er IKT, teknologi og IKT-sikkerhet?........................ 36 3.2 Kartlegging og beskrivelse av IKT-verdiene...................... 38 3.3 Trusler mot IKT-verdiene.................................... 39 3.4 Sannsynlighetsvurdering..................................... 43 3.5 Konsekvensvurdering........................................ 44 3.6 Beskrivelse av risiko......................................... 44 3.7 Sikkerhetstiltak............................................. 44 3.8 Beredskap................................................. 45 3.1 Hva er IKT, teknologi og IKT-sikkerhet? IKT og teknologi IKT er forkortelse for informasjons- og kommunikasjonsteknologi. Begrepet omfatter teknologi for innsamling, lagring, behandling, overføring og presentasjon av informasjon. IKT er en sammensmeltning av informasjonsteknologi (IT) og telekommunikasjon.
605-Sikkerhet.book Page 37 Friday, October 26, 2007 12:32 PM Kapittel 3 IKT-sikkerhet 37 Teknologi er læren om teknikker og problemløsninger. Ordet brukes også som en betegnelse på det tekniske utviklingsnivået i samfunnet. Teknologi er med andre ord kunnskap om tekniske innretninger, produksjonsmetoder, materialer og om hvordan vi bruker dette. Teknologi kan være alt fra metoder for å bore etter olje i Nordsjøen til hvordan mobiltelefonen fungerer. Vi har blitt avhengige av teknologi og at den fungerer. Svikt i teknologien kan få katastrofale følger. TENK ETTER Tenk på konsekvensene hvis teknologien i et fly skulle svikte. IKT-sikkerhet Vi kan definere IKT-sikkerhet som evnen til å ha kontroll med risiko i forhold til IKT-systemer. Arbeidet med IKT-sikkerhet innebærer å kartlegge risiko og iverksette tiltak for å hindre eller begrense stans i IKT-systemene. I tillegg innebærer det å lage beredskapsplaner i tilfelle systemene skulle svikte. IKT-verktøy gir en virksomhet mulighet til å øke effektiviteten og redusere kostnadene. Samtidig gjør IKT-verktøy virksomheten sårbar. Mange virksomheter ville for eksempel fungert dårlig hvis Internett-tilgangen ble borte. TENK ETTER Hvor lenge ville du greie deg uten mobiltelefonen eller Internett? For å få en oversikt over hvilke uønskede hendelser som kan skje med IKT-systemene, er det viktig å kunne noe om elektroniske kommunikasjonsmidler, som PC og programvare, Internett og samspillet mellom disse. Det gjelder spesielt når det skal lages beredskapsplaner i tilfelle IKT-systemene skulle svikte. I dette kapitlet skal vi følge punktene i det systematiske sikkerhetsarbeidet som vi gjennomgikk i kapittel 2, bortsett fra handlingsplan og
605-Sikkerhet.book Page 38 Friday, October 26, 2007 12:32 PM 38 Del B Sikkerhetstiltak kontroll. I de neste kapitlene i del B konsentrerer vi oss derimot om den delen av sikkerhetsarbeidet som gjelder tiltak. 3.2 Kartlegging og beskrivelse av IKT-verdiene Grunnleggende IKT-verktøy Skal vi få kontroll med risikoen, må vi kartlegge og beskrive hvilke IKT-verdier som finnes i virksomheten og som trenger beskyttelse. For de fleste virksomheter vil grunnleggende IKT-verktøy bestå av: maskinvare (harddisk, skjermer, skrivere og ledninger) plattform (Windows, Mac eller Unix) nettverk, nettverksserver og diskplass på nettverket Internett-tilgang, e-post og databaser antivirus- og spamfilterprogram kalender og aktivitetsprogram kontorstøtteverktøy (skriveprogram, regneark, presentasjonsprogram og arkivsystem) spesifikk programvare (for eksempel salgsprogram) systemer for sikkerhetskopiering telefonsystem (stasjonært og mobilt) Alle disse produktene må virke sammen og må beskyttes mot flere typer trusler. TENK ETTER Det er kveld, og du skal levere en skriftlig oppgave neste morgen. Du har all tenkelig programvare på PC-en, men printeren har sluttet å fungere. Hvilken løsning har du på problemet? Informasjonssikkerhet Informasjon som ligger lagret i datasystemet, har også en verdi og må beskyttes. Det kan være interne dokumenter som rutiner og prosedyrer, tegninger og oppskrifter, regnskap, personalbaser og e-post. Personopplysningsloven av 14. april 2000 stiller spesielle krav til behandling av personopplysninger. Data som virksomheten har om sine ansatte, er eksempel på personopplysninger.
605-Sikkerhet.book Page 39 Friday, October 26, 2007 12:32 PM Kapittel 3 IKT-sikkerhet 39 Personopplysningsloven stiller også krav til personopplysningenes konfidensialitet, tilgjengelighet og integritet. I tillegg skal enhetene som personopplysningene er lagret på, sikres mot tyveri. Sikring av konfidensialitet innebærer tiltak mot innsyn i personopplysningene fra uvedkommende. Sikkerhetstiltak kan være å låse opplysninger som er skrevet ut på papir, inn i godkjente skap med begrenset tilgang. For personopplysninger som er lagret elektronisk, bør det opprettes systemer der brukernavn og kode er nødvendig for å få tilgang til opplysningene. Med sikring av tilgjengelighet mener vi at tilstrekkelige og relevante opplysninger skal være tilgjengelige for medarbeiderne og andre som skal behandle opplysningene. Med integritet mener vi at uvedkommende ikke skal ha adgang til å endre opplysninger. I tillegg skal datasystemer som lagrer personopplysninger, være beskyttet mot ødeleggende programvare. Når personopplysninger lagres, skal det registreres hvem som har utført hvilke handlinger i datasystemet. Alle virksomheter som lagrer og bruker personopplysninger, skal ha en person som er ansvarlig for å sikre en forsvarlig behandling av personopplysningene. Denne personen er også ansvarlig for å sikre rettighetene til dem som er registrert og gi informasjon om hvilke opplysninger som er registrert. Personopplysningsloven er også behandlet i kapitlene 5 og 6. 3.3 Trusler mot IKT-verdiene Når IKT-verdiene er kartlagt, må det lages en oversikt over hvilke uønskede hendelser som kan true dem. En slik oversikt kaller vi også et trusselbilde. Her følger en oversikt over noen aktuelle uønskede hendelser. Fysiske trusler Fysiske trusler kan være direkte angrep på datamaskiner, kommunikasjonsredskaper, programvare, kabler, kontrollmekanismer, telesentraler eller strømforsyning.
605-Sikkerhet.book Page 40 Friday, October 26, 2007 12:32 PM 40 Del B Sikkerhetstiltak Angrepene kan bestå i at kabler klippes, harddisker ødelegges, vitale komponenter fjernes, bruk av elektromagnetisk puls (EMP) eller forsøk på fysisk å overta IT-sentraler. Andre fysiske trusler er sletting av filer eller fjerning av programvare. Det er i hovedsak lagringsmedier som harddisker, disketter, CD- og DVD-plater og datatape som er målet for slike angrep. En annen fysisk trussel er tyveri. Det kan påføre en virksomhet direkte eller indirekte økonomisk tap. Et indirekte tap kan være at uerstattelig informasjon blir borte og i verste fall havner hos en konkurrent. Naturkreftene kan også gjøre skade på IKT-systemer. Det spås at vi i fremtiden vil vi få mer ekstremvær med følgeskader som flom, trær som blåser over telefonnettet, strømkabler osv. Angrep på komponenter som er kritiske for et IKT-system, kan også skape store problemer. Dette er angrep på støttefunksjoner som IKT-systemene er avhengige av for å kunne fungere. Eksempler på støttefunksjoner er ventilasjonssystemer, strømforsyning og vannkjøling. Elektroniske trusler Det ikke nok bare å beskytte IKT-verdiene mot fysiske trusler. De må også beskyttes mot elektroniske trusler. Slike elektroniske trusler kan være virus trojanske hester ormer phishing adware spyware koordinert masseutsendelse hacking Tyveri av informasjon Tyveri av elektronisk informasjon vil si at tyvene bryter seg gjennom de elektroniske sperringene og stjeler dokumenter og annen verdifull informasjon. Tyveriet kan ha sammenheng med spionasje.
605-Sikkerhet.book Page 41 Friday, October 26, 2007 12:32 PM Kapittel 3 IKT-sikkerhet 41 Trusler fra egne ansatte Betrodde ansatte som har tilgang til kritiske IKT-systemer, eller som har spesiell kompetanse, kan la utenforstående få tilgang til systemer som ellers er godt beskyttet. Disse IKT-medarbeiderne har inngående kjennskap til systemets svakheter og kan derfor påføre egen virksomhet svært alvorlige skader. Motivet for slike handlinger kan blant annet være å tjene penger eller at de ønsker å hevne seg på arbeidsgiveren av en eller annen grunn. Utilsiktede trusler Utilsiktede feil som er utført av egne ansatte, er en stor trussel mot IKT-systemene. Feilene kan skyldes manglende kompetanse, men årsaken kan også være mangelfulle kvalitetssikringsrutiner, eller at de ansatte ikke følger de rutinene som finnes. Et nytt fenomen er nettsteder der man deler privatlivet med venner og venners venner. Facebook er navnet på et av disse nettstedene. Det har forekommet at ansatte har lagt ut informasjon om virksomheten de er ansatt i, med bilde av kollegene og data om dem. Dette er personopplysninger som er omfattet av personopplysningsloven, og som man ikke kan bruke uten videre. Falsk informasjon Vi kan ikke alltid stole på det som er lagt ut på Internett. Hvem som helst kan legge ut informasjon, og uriktig informasjon kan enkelt publiseres til hele verden. Det må derfor stilles krav til den som søker informasjon. Det må foretas flere vurderinger før informasjonen kan tas i bruk. Det vil si at søkeren ofte må kryssjekke informasjonen for å kontrollere at den stemmer overens med informasjonen på andre Internett-sider og andre kilder. Maskinvareproblemer Eksempler på maskinvareproblemer er feil ved prosessorer, RAMminnet og hovedkortet. Slike feil kan gjøre at maskinene ikke fungerer godt nok, eller at de ikke fungerer i det hele tatt. Årsakene til feilene kan være mange og vanskelig å finne. Løsningen er ofte å sende en hel IKT-enhet på verksted. Reparasjonen kan ta tid, og det er ikke alltid lett å finne reserveløsninger.
605-Sikkerhet.book Page 42 Friday, October 26, 2007 12:32 PM 42 Del B Sikkerhetstiltak Programvareproblemer Programvareproblemer vil si at programmene ikke kan brukes sammen, eller at de forsinker hverandre. Hvis en kjører flere programmer fra forskjellige leverandører samtidig, øker sannsynligheten for at programmene ikke fungerer sammen. Svikt i IKT-leveranser En svikt i leveranse kan være feil leveranse av IKT-komponenter eller forsinket leveranse. Forsinkelse kan forekomme hvis mange IKTkomponenter lages etter at bestillingen er gjort. Det vil si at det er en viss treghet i systemet fra bestillingen blir registrert til den blir behandlet og produsert. Ved store bestillinger må man regne med å vente en stund på produktene. Svikt i leveransen kan gjøre en virksomhet svært sårbar og koste mange penger. Maskinvareproblemer og svikt Utilsiktede trusler Tyveri av informasjon Fysiske trusler Ujevn strømtilførsel Klipping av kabler Manglende kjøling Ødelegging av lagringsmedier Programvareproblemer Elektroniske trusler Sprengning Fjerning av vitale deler Svikt i IKTleveranser Trusler fra egne ansatte EMP Fysisk overtakelse av systemet Trusselbilde for fysiske trusler Trusselvurderingen kan settes opp i et kakediagram slik at vi får et oversiktlig bilde. Eksemplet viser hvordan sektoren som omhandler fysiske trusler, er brutt ned i nye og mer detaljerte trusler. Vi får da et eget trusselbilde over fysiske trusler.
605-Sikkerhet.book Page 43 Friday, October 26, 2007 12:32 PM Kapittel 3 IKT-sikkerhet 43 3.4 Sannsynlighetsvurdering Når vi skal vurdere sannsynligheten for en uønsket hendelse rettet mot IKT-systemet, bruker vi hendelsene som er beskrevet i trusselbildet, som utgangspunkt. I kapittel 2 ble graden av sannsynlighet beskrevet med denne formelen: Sannsynlig uønsket hendelse Eksisterende sannsynlighetsreduserende tiltak = Graden av sannsynlighet EKSEMPEL Vi skal se på muligheten for tyveri av informasjon fra et PC-nettverk og bruker bedriften Teknopartner som et tenkt eksempel. Selskapet produserer komponenter til bilmotorer. Det har ca. 1200 besøk på sine hjemmesider i døgnet. De eksisterende sannsynlighetsreduserende tiltakene kan beskrives slik: Maskinparken er plassert i fjerde etasje, der det trengs kort og kode for å komme inn. Alle trenger brukernavn og passord for å få tilgang til sitt arbeidsområde på serveren. Et brukernavn er unikt og sammensatt av inntil åtte små bokstaver og tall, for eksempel per10901. Virksomheten har innført regler for bruk av passord. Passordet skal bestå av minst åtte tegn, der det skal brukes små og store bokstaver med ett eller flere tall. Spesialtegn som *?!# kan også brukes i passordet. Passordet skal aldri lånes ut til andre, ikke engang til ektefelle, gode kolleger eller IT-personell. Det er ansatt flere dyktige IT-konsulenter som betjener systemet. De har en stillingsinstruks som blant annet sier at de er ansvarlige for at systemet har antivirusprogram og at spam blir filtrert bort. De registrerer også hendelser hvis ansatte oppfører seg merkelig i nettverket. Med bakgrunn i de sikkerhetstiltakene som er beskrevet i eksemplet, er det lite sannsynlig at det vil skje tyveri av informasjon i denne bedriften fra utenforstående.
605-Sikkerhet.book Page 44 Friday, October 26, 2007 12:32 PM 44 Del B Sikkerhetstiltak 3.5 Konsekvensvurdering Vi må også vurdere hvilke konsekvenser tyveri av informasjon vil gi. Vi bruker denne formelen: Konsekvens Eksisterende konsekvensreduserende tiltak = Graden av konsekvens Hvis noen skulle stjele informasjon fra Teknopartner, kan konsekvensene bli at konkurrenter og presse får innsyn i graderte dokumenter. Slike dokumenter kan være kontrakter med andre virksomheter, strategier i forbindelse med ansatte, produkter, kunder og konkurrenter. Konsekvensene kan bli økonomisk tap, brudd på personopplysningsloven eller tap av potensielle kunder som synes sikkerheten har vært for dårlig, noe som i sin tur kan føre til dårlig omdømme. Eksisterende konsekvensreduserende tiltak er sikkerhetskopiering som gjør at informasjon enkelt kan erstattes, og at virksomheten har en presseansvarlig som er trent til å møte pressen. Men konsekvensen vil likevel være stor ved tyveri av informasjon. 3.6 Beskrivelse av risiko Hensikten med å beskrive risiko er å sammenfatte sannsynligheten for tyveri og konsekvensvurderingen. Resultatet gir svar på graden av risiko for tyveri av informasjon fra virksomheten. Med bakgrunn i de opplysningene som er gitt om Teknopartner, kan vi si at det er liten sannsynlighet for at det skal skje tyveri av informasjon fra virksomheten, men at et eventuelt tyveri kan få store konsekvenser. 3.7 Sikkerhetstiltak Risikoen er nå beskrevet, og nye sikkerhetstiltak kan anbefales. Medarbeiderne i Teknopartner må ikke undertegne en taushetserklæring når de blir ansatt. Det blir heller ikke gjennomført sluttintervju for å kartlegge årsaken til at ansatte slutter. Forslag til sikkerhetstiltak blir derfor å innføre taushetserklæring og sluttintervju.
605-Sikkerhet.book Page 45 Friday, October 26, 2007 12:32 PM Kapittel 3 IKT-sikkerhet 45 Passordet til de ansatte må byttes hvert halvår. Det anbefales og øke hyppigheten til hver tredje måned. Hvis forslagene godkjennes av virksomhetens eiere eller deres representanter, blir innføringen av tiltaket planlagt, det blir gjennomført, det blir kontrollert at tiltaket fungerer som det skal, og eventuelle feil blir korrigert. 3.8 Beredskap Beredskap har til hensikt å minske konsekvensene ved hendelser som er for omfattende til å bli ivaretatt av de mindre konsekvensreduserende tiltakene. Beredskap er eget tema i kapittel 12. Teknopartner har satt av penger til en markedskampanje som skal kjøres hvis et tyveri av informasjon skulle føre til negativ publisitet. I tillegg har virksomheten en avtale med en mediebedrift som kan hjelpe til å håndtere pressen. Teknopartner har også intern beredskap. De som er med i beredskapssystemet, blir varslet på mobiltelefon og må da møte på avtalt sted i virksomheten. Hovedprinsippet er at virksomheten skal kunne gi informasjon til sine ansatte først, og de igjen skal gi den riktige informasjonen til sine nærmeste og kundene. Nedenfor er en oversikt over personene vi kan tenke oss skal være med i beredskapsgruppen, og deres oppgaver: Den daglige lederen har som oppgave å lede beredskapsgruppen. Driftssjefen varsler alle mellomledere, som igjen varsler sine medarbeidere og kunder. Sikkerhetssjefen vurderer sikkerheten til de ansatte og virksomheten. Personalsjefen gjør klar all informasjon om ansatte og deres pårørende. Økonomisjefen vurderer det økonomiske skadeomfanget. Den IKT-ansvarlige legger fortløpende ut informasjon på hjemmeside og intranettsider. Fem ansatte blir kalt inn for å betjene telefoner. Fem ansatte blir kalt inn for diverse hjelp.
605-Sikkerhet.book Page 46 Friday, October 26, 2007 12:32 PM 46 Del B Sikkerhetstiltak Den tillitsvalgte blir sendt ut til ansatte ved behov. Verneombudet blir sendt ut til ansatte ved behov. Advokaten blir varslet hvis det er mistanke om at noe kan være straffbart. Bedriftshelsetjenesten blir varslet ved hendelser som berører ansatte. Medieselskapet blir varslet hvis det kan bli negativ publisitet. Vaktselskapet blir varslet, og de skal stille med to vektere i hovedinngangen. Møterom 1 3 blir brukt som kommandosentral, og møterom 4 blir brukt som presserom. Denne virksomheten avholder årlig beredskapsøvelse der sikkerhetssjefen er ansvarlig for å tilrettelegge for forskjellige øvelsesscenarier. Beredskapen omfatter mange funksjoner i virksomheten. Hvis en funksjon, for eksempel personalsjefen, ikke er til stede, er det en annen som skal ivareta den funksjonen. Det store antallet ansatte som er involvert i beredskapsplanen, viser at virksomheten har innsett at det er viktig med god beredskap. Virksomheten har tatt konsekvensen av «Murphys lov». Den sier at alt som kan gå galt, vil gå galt, og på det verst tenkelige tidspunkt. TEST DEG SELV 1 Hva er IKT forkortelse for? 2 Hva mener vi med teknologi? 3 Definer begrepet IKT-sikkerhet. 4 Nevn fem eksempler på grunnleggende IKT-verktøy. 5 Hva mener vi med personopplysninger? 6 Hva mener vi med sikring av konfidensialitet? 7 Hva mener vi med sikring av tilgjengelighet? 8 Hva mener vi med integritet? 9 Nevn eksempler på fysiske trusler mot IKT-verdiene. 10 Hvordan kan naturkreftene være en trussel mot datautstyret? 11 Nevn eksempler på elektroniske trusler. 12 Hvordan kan egne ansatte være en trussel mot IKT-verdiene? 13 Nevn eksempler på utilsiktede trusler. 14 Nevn eksempler på maskinvareproblemer. 15 Nevn eksempler på programvareproblemer. 16 Beskriv formelen for sannsynlighetsvurdering.
605-Sikkerhet.book Page 47 Friday, October 26, 2007 12:32 PM Kapittel 3 IKT-sikkerhet 47 17 Beskriv formelen for konsekvensvurdering. 18 Nevn noen sikkerhetstiltak for IKT i en virksomhet. 19 Gi eksempler på beredskap i en virksomhet i tilfelle tyveri av sensitive opplysninger. OPPGAVER 3.1 a) Når tok du sist sikkerhetskopi av det du skrev på PC-en din? Har du noen sikkerhetsrutiner? b) Hvordan er det med IKT-sikkerheten hjemme hos deg selv for øvrig? c) Noter ned dine negative erfaringer med IKT (dårlig service, feil og eventuelle tabber). Del erfaringene med klassen. 3.2 Gå inn på nettstedet www.ibas.no. Forklar hva dette firmaet kan bistå med når det gjelder IKT-sikkerhet. 3.3 Hvordan er datasikkerheten på skolen? Du skal vurdere den fysiske og elektroniske sikkerheten og informasjonssikkerheten. Det skal leveres en rapport om forholdet med forslag til forbedringer. 3.4 Gruppeoppgave Klassen blir enig om en felles maskinvare, plattform og antivirus- og spamfilterprogram til en bærbar PC. Klassen deles så i grupper. Gruppene skal søke på Internett og finne den rimeligste leverandøren av disse produktene. Resultatene presenteres for klassen. 3.5 Gruppeoppgave Diskuter de fysiske truslene i forhold til en virksomhets IKT-system.
605-Sikkerhet.book Page 48 Friday, October 26, 2007 12:32 PM 48 Del B Sikkerhetstiltak 3.6 Gruppeoppgave Dere arbeider som sikkerhetsansvarlige i en stor bedrift. IKT-sikkerheten er veldig bra, men dere ønsker likevel å sikre bedriften ytterligere mot spionasje, spesielt mot avlytting og ulovlig videoovervåking. Dere vil også sørge for at telefoner, fakser og møtelokaler blir bedre sikret. Søk på Internett og finn ut hva slags forebyggende spionutstyr som finnes. Gruppene presenterer det de har funnet for klassen. 3.7 Gruppeoppgave Klassen deles i grupper som hver skal representere en IKT-bedrift. a) Bruk kreativiteten og forsøk å finne metoder dere kan bruke for å skaffe dere informasjon om hva de konkurrerende IKT-bedriftene arbeider med (nye produkter, teknologi, kampanjer, pris, forskningsrapporter, prototyper og lignende). I denne oppgaven er det tillatt å bryte alle lover og etiske regler. b) Diskuter hvordan bedriften deres kan hindre eller redusere risikoen for at konkurrerende IKT-bedrifter skaffer seg viktig informasjon om firmaet deres. 3.8 Utarbeid en prosedyre for IKT-sikkerheten til den ungdomsbedriften du er med i. (Se forslag til oppsett av prosedyre og avviksbehandling i kapittel 6.) Prosedyren bør blant annet ha med noe om maskinvare, programvare, brannmur, passord, sikkerhetskopiering, virussikring, oppbevaring, fysisk sikring, elektronisk sikring, utstyr og væskeskader. 3.9 Gruppeoppgave Diskuter hvilke arbeidsoppgaver en IKT-ansvarlig har i en bedrift.
605-Sikkerhet.book Page 49 Friday, October 26, 2007 12:32 PM Kapittel 4 Fysisk sikring Dette er nytt Etter å ha lest dette kapitlet skal du kunne - lage risikoanalyser for arbeidsprosesser og virksomheter i ulike bransjer og foreslå tiltaksplaner med fysiske, manuelle og administrative tiltak for å redusere risiko Innhold 4.1 Sikkerhetsprosjektering...................................... 49 4.2 Hva er god innbruddsbeskyttelse?............................. 51 4.3 Oppbevaringsenheter........................................ 57 4.1 Sikkerhetsprosjektering Fysisk sikring, i likhet med de andre kapitlene i del B i denne boka, handler om det utførende sikkerhetsarbeidet. Sikkerhetsprosjektering er sentralt i dette arbeidet. Derfor skal vi starte med å forklare hva det innebærer. Sikkerhetsprosjektering vil si vurdering og valg av forskjellige tiltak for å bedre sikkerheten. Det er snakk om fysiske, tekniske, manuelle og administrative tiltak.
605-Sikkerhet.book Page 50 Friday, October 26, 2007 12:32 PM 50 Del B Sikkerhetstiltak Disse tre prosjekteringsprinsippene er mye benyttet, både i kombinasjon og hver for seg: dybdesikring sonesikring sentralisering Dybdesikring Hensikten med dybdesikring er å gjøre det vanskeligst mulig for en uønsket person å få tilgang til de verdiene som skal sikres. Der det er benyttet dybdesikring, må en inntrenger forsere mange hindringer. Dybdesikring er sikring fra ytterst til innerst. Rundt bygningen er det for eksempel et gjerde (periferisikring). Inne på eiendommen er bygningene belyst (arealsikring). Dørene er solide og har magnetkontakter (skallsikring). Det er alarm i rommene (romsikring), og det er montert seismisk detektor på safen (objektsikring). Hvilke prosjekteringsprinsipper tror du Norges Bank i Oslo benytter? TENK ETTER Sonesikring Sonesikring vil si sikring i et fysisk avgrenset område. For å få tilgang til disse områdene stilles det visse krav. Et avgrenset område kan være en eller flere etasjer i en bygning eller i deler av en bygning. I større virksomheter er det ofte forskjellige avdelinger som er sikret i soner ved at de er plassert innenfor begrensede områder. Det kan være administrasjonen, forskningsavdelinger og dataavdelinger. I slike virksomheter kan det være et problem at sikkerhetstiltakene kan gjøre den daglige driften vanskelig. TENK ETTER Hvor tror du medisiner og legejournaler blir oppbevart på sykehus, og hvor mange besøkende tror du er innom et sykehus i løpet av en dag?
605-Sikkerhet.book Page 51 Friday, October 26, 2007 12:32 PM Kapittel 4 Fysisk sikring 51 Sentralisering En måte å sikre virksomheten på er å sentralisere i egne områder som har spesielt behov for beskyttelse. Innenfor mindre deler av virksomheten kan det etableres egne rom som har behov for forsterket sikkerhet, for eksempel rom med pengeskap eller datautstyr. En sparer penger på å begrense sikkerhetstiltakene til deler av virksomheten. En annen fordel er at det er lettere å fokusere på sikkerheten på mindre områder. Dessuten er det færre ansatte som blir berørt. 4.2 Hva er god innbruddsbeskyttelse? En god innbruddsbeskyttelse skal gjøre innbrudd vanskelig. Beskyttelsen skal øke den tiden et eventuelt innbrudd tar, og sørge for at inntrengeren lager mest mulig støy. Dermed vil innbruddsforsøket lettere bli oppdaget og avverget. I tillegg skal beskyttelsen også virke avskrekkende for dem som vil forsøke seg. Vi beskriver disse typene innbruddsbeskyttelse: gjerder belysning porter og bommer bygningsmessig sikring Gjerder Hvor motstandsdyktig et gjerde er for innpassering, avhenger av høyde, materialvalg og dimensjon. Det blir benyttet sveisede nett, aluminium, plastbelagt stål eller stål som blir lakkert i den fargen bedriften ønsker. Det beste er rette, vertikale spiler, som vanskeliggjør klatring. Gjerder symboliserer en grense til et område som ikke er åpent for allmennheten. Er det i tillegg skilt med adgang forbudt, vil en overtredelse kunne rammes av straffeloven 355. Rundt gjerder kan det være skilt med teksten «Videoovervåket område», som gir et signal om at området er videoovervåket, og at ingen uten gyldig adgang er ønsket på innsiden av gjerdet. Gjerder er ofte festet til bakken slik at det er vanskelig å krype under dem. I tillegg er gjerdestolpene plassert på innsiden og påmontert
605-Sikkerhet.book Page 52 Friday, October 26, 2007 12:32 PM 52 Del B Sikkerhetstiltak vinkeljern som er bøyd utover, på toppen. Det gjør det vanskelig å klatre over gjerdene. Det er viktig at det ikke vokser trær inntil gjerdene. Belysning Det er viktig med god belysning både ute og inne. Utelyset kan kobles til sensorer, slik at lyset automatisk slår seg på når det blir mørkt og slår seg av når det blir lyst. Det finnes også systemer der lyset slå seg på når uvedkommende kommer inn i et område som er videoovervåket. Videokameraet reagerer på bevegelser og sender signaler til alarmsentralen, samtidig som lyset slår seg på. Lyskastere blir ofte plassert på lysstolper rundt bygninger og på innsiden av gjerder. Lys virker preventivt og gir bedre forhold for videokameraene. For å hindre hærverk eller at lyskasterne blir satt ut av drift før innbrudd, kan lysstolpene bli smurt inn med vaselin eller fett. Porter og bommer En port må minst ha samme egenskap mot inntrengning som et gjerde. Den må ha godkjente faste hengsler og låseanordninger. Det benyttes ofte bommer, slik at man skal kunne ha kontroll med trafikken inne på et område. Det kan være lette bommer som først og fremst skal symbolisere en grense, eller tyngre bommer som det er vanskelig eller umulig å passere. Det finnes både manuelle og motordrevne bommer. De sistnevnte kan åpnes med trykknapp i vakta eller med kortleser. Bygningsmessig sikring I utgangspunktet er vegger, tak og gulv i bygninger sikret mot inntrengning i henhold til forskrifter. I tillegg hender det at vegger, tak, gulv og dører blir forsterket i bygninger der det blir oppbevart verdier. Forsikringsselskapenes Godkjennelsesnemnd (FG) utarbeider krav til sikkerhet i bygninger og kvalitetstester sikkerhetsutstyr. FG representerer alle forsikringsselskapene i Norge.
605-Sikkerhet.book Page 53 Friday, October 26, 2007 12:32 PM Kapittel 4 Fysisk sikring 53 Bygningsmessig sikring innebærer sikring av dører hengsler gittere glass låser Dører En FG-godkjent dør skal tilfredsstille kravene i Norsk Standard, eller ha tilfredsstillende stivhet og styrke som en 35 mm kompakt tredør. Noen dører og porter er elektrisk styrt ved hjelp av motorlåser, elektriske sluttstykker og magnetholdere. Det gjelder dører med høye sikkerhetskrav og stor bruksfrekvens, porter, hoveddører, brannklassifiserte dører og nødutgangsdører. Tilfredsstiller ikke døra de ovennevnte kravene, er det mulig å forsterke den med en 1,5 mm stålplate som er falset rundt kantene på døra, eller med en 15 mm kryssfinerplate som er skrudd inn i døra med gjennomgående skruer. Det monteres ikke FG-godkjent dør på en utedo. TENK ETTER Hengsler Døras hengsler skal ikke kunne demonteres. Det anbefales derfor å montere bakkantbeslag. Hensikten er at døra og karmen skal få tilstrekkelig styrke på døras hengselside. Det må være et visst forhold mellom innfestingen, karmen og døra. Døras sikkerhet blir aldri bedre enn innfestingen av låsen eller sluttstykket, som må være riktig montert i karmen.
605-Sikkerhet.book Page 54 Friday, October 26, 2007 12:32 PM 54 Del B Sikkerhetstiltak Dør med bakkantbeslag Gittere Dører og vinduer kan tilleggssikres med gitterport, saksegitter, rullegitter, hengslet gitter, skyvegitter og sjalusigitter. Det finnes godkjent gitter både for innvendig og utvendig bruk. Gitteret er enten av stål, aluminium eller en kombinasjon av disse metallene. Monteringen og sikringen av bolter og skruer skal utføres etter faste regler. I tillegg avlåses gitteret med to FG-godkjente hengelåser. Det er også viktig å sikre ventilasjonssjakter, luker og lignende. Glass Veggpartier av glass og vinduer er som regel de svakeste punktene i ytterveggene. Herdet glass er behandlet på en spesiell måte, blant annet ved sterk oppvarming, og er derfor svært motstandsdyktig mot støt og slag. Laminert glass består av flere lag glass som er limt sammen. Dette glasset er derfor også svært motstandsdyktig mot støt og slag. Er glasset tykt nok, tåler det dessuten å bli skutt på. Glasslister bør monteres med enveisskruer, det vil si skruer som ikke kan skrues opp. Det hindrer innbruddstyver i å skru opp skruene og fjerne lister og vindu. Fastliming med silikon er også ofte benyttet.
605-Sikkerhet.book Page 55 Friday, October 26, 2007 12:32 PM Kapittel 4 Fysisk sikring 55 Låser Kravet til en god lås er at den vanskelig lar seg dirke eller bryte opp, og at den derfor hindrer eller forsinker innbrudd. Hva slags type lås som skal velges, avhenger av virksomhetens sikkerhetsbehov. Det finnes et stort tilbud av låser, låsesystemer og leverandører. Låser kan deles inn i fire typer: stiftsylinderlås tilholderlås elektromekanisk lås kombinasjonslås Stiftsylinderlåsen er den mest brukte dørlåsen i dag. Den ble for første gang brukt av egypterne for ca. 3000 år siden. Den består av et fast sylinderhus og en dreibar indre sylinder, kalt kjerne. Kjernen er bygd opp med stifter av forskjellig lengde, tilpasset nøkkelen som skal passe. Tilholderlåsen er den mest brukte låsen etter stiftsylinderlåsen. Den benyttes i vanlige dører i boliger, i forskjellige sikkerhetsskap og ellers i skap og skuffer. I slike låser ligger sperremekanismen i selve låsekassa. Når nøkkelen føres inn i sylinderen til en elektromekanisk lås, sender den fra seg et elektronisk signal som oppfattes av låsen. Låsen aksepterer eller forkaster nøkkelen avhengig av hva slags adgangsrettigheter brukeren har fått programmert inn i den batteridrevne nøkkelen. På hvelv, verdiskap og brannskap benyttes kombinasjonslås. For å kunne åpne låsen må et hjul på låsen vris vekselvis mot høyre og ven- Stiftsylinderlås (til venstre) og tilholderlås (til høyre)