Risikovurdering

Industrivern er tilpasset egenbeskyttelse, basert på risikovurderinger

Industrivernet skal være tilpasset virksomhetens behov for egenbeskyttelse. Svaret på spørsmålet «hva kan skje hos dere?» er grunnleggende for hva industrivernet skal kunne håndtere. Oversikten over uønskede hendelser skal gjennomgås minimum én gang i året og oppdateres ved endringer som har betydning for organisering og dimensjonering av industrivernet. Kravene til industrivern tar altså utgangspunkt i virksomhetens risikovurderinger.

NSO stiller ingen formkrav til hvordan farer og problemer skal kartlegges, eller hvordan risikovurderingene skal gjennomføres. Det er åpenbart store forskjeller på hva som kreves av en risikovurdering på et snekkerverksted og hva som kreves på et stort prosessanlegg. Det er også flere virksomheter som har krav fra sine eiere om spesielle metoder eller standarder på dette området. Risikofaget er i stadig utvikling, og NSO ser det er vanskelig å anbefale en metode fremfor en annen. I lenken under har vi henvist til den metoden Direktoratet for samfunnsikkerhet og beredskap (DSB) bruker (se særlig kapitel 3 «Helhetlig risiko- og sårbarhetsanalyse – trinn for trinn»), men vi understreker at dette heller ikke er en «fasit».

Sikring/security

Industrivernpliktige virksomheter må også vurdere hendelser som skyldes planlagte handlinger som innbrudd, sabotasje og tyveri – fysisk eller via IKT-systemer.

Både sikkerhet («safety») og sikring («security») er begrep som bør være en del av vurderingene når forebyggende tiltak skal planlegges og beredskap skal dimensjoneres.

Sikring dekker hendelser som skyldes planlagte handlinger som innbrudd, sabotasje og tyveri – fysisk eller via IKT-systemer. I den siste versjonen av internkontrollforskriften (HMS) er det nå krav om at alle skal kartlegge også denne typen hendelser.

Hvilke verdier kan trues

I forbindelse med vurdering av risiko knyttet til sikring er det oftest vanlig å starte med en vurdering av hvilke verdier som kan trues. Hvilken informasjon, hvilke råvarer/produkter eller hvilket utstyr kan andre være ute etter å stjele, ødelegge eller sabotere? Hvilke trusler er det dere må vurdere? Til hjelp til dette har både Nasjonal sikkerhetsmyndighet (NSM), Politiets sikkerhetstjeneste (PST) og Norsk senter for informasjonssikring (NorSIS) oppdaterte trusselvurderinger. Og hvor sårbare er bygg, områder eller datasystemene dere ønsker å beskytte? Som nevnt over er det mange gode kilder til veiledning innen sikringsområdet. NSO forutsetter at industrien gjør det de kan for å forebygge denne typen hendelser med samme systematikk som branner, lekkasjer og personskader forebygges.

Tilpasset beredskap uansett årsak

Industrivern er industriens egenbeskyttelse, og vi skiller ikke på hvorfor en hendelse har skjedd i beredskapssammenheng. NSO forventer derfor at relevante hendelser som kan skyldes at noen har ødelagt sikkerhetsbarrierer ved innbrudd, terrorhandlinger, sabotasje mv er tatt med i oversikt over uønskede hendelser og dermed er med i grunnlaget for dimensjoneringen av beredskap i virksomhetene.

Alle som har IKT-baserte styringsanlegg av produksjon, prosessering og lagring må ha vurdert faren for inntrengere og konsekvensen av dette. Hva gjør dere hvis skjermene på kontrollrommet går i svart (eller blått)? Hvor alvorlig er det og hvor fort kan dere få kontroll på kritiske deler av produksjonen/prosessen i «blinde»? Om utfallet skyldes en teknisk feil (som et strømbrudd) eller er en planlagt handling spiller for de fleste mindre rolle i planleggingen av de første beredskapstiltakene.