Sikring/security

Industrivernpliktige virksomheter må også vurdere sikrings- og security-baserte uønskede hendelser.

Både sikkerhet («safety») og sikring («security») er begrep som bør være en del av vurderingene når forebyggende tiltak skal planlegges og beredskap skal dimensjoneres.

Sikring dekker hendelser som skyldes planlagte handlinger som innbrudd, sabotasje og tyveri – fysisk eller via IKT-systemer. I den siste versjonen av internkontrollforskriften (HMS) er det nå krav om at alle skal kartlegge også denne typen hendelser.

Hvilke verdier kan trues

I forbindelse med vurdering av risiko knyttet til sikring er det oftest vanlig å starte med en vurdering av hvilke verdier som kan trues. Hvilken informasjon, hvilke råvarer/produkter eller hvilket utstyr kan andre være ute etter å stjele, ødelegge eller sabotere? Hvilke trusler er det dere må vurdere? Til hjelp til dette har både NSM, PST og NorSIS oppdaterte trusselvurderinger. Og hvor sårbare er bygg, områder eller datasystemene dere ønsker å beskytte? Som nevnt over er det mange gode kilder til veiledning innen sikringsområdet. NSO forutsetter at industrien gjør det de kan for å forebygge denne typen hendelser med samme systematikk som branner, lekkasjer og personskader forebygges.

Tilpasset beredskap uansett årsak

Industrivern er industriens egenbeskyttelse, og vi skiller ikke på hvorfor en hendelse har skjedd i beredskapssammenheng. NSO forventer derfor at relevante hendelser som kan skyldes at noen har ødelagt sikkerhetsbarrierer ved innbrudd, terrorhandlinger, sabotasje mv er tatt med i oversikt over uønskede hendelser og dermed er med i grunnlaget for dimensjoneringen av beredskap i virksomhetene.

Alle som har IKT-baserte styringsanlegg av produksjon, prosessering og lagring må ha vurdert faren for inntrengere og konsekvensen av dette. Hva gjør dere hvis skjermene på kontrollrommet går i svart (eller blått)? Hvor alvorlig er det og hvor fort kan dere få kontroll på kritiske deler av produksjonen/prosessen i «blinde»? Om utfallet skyldes en teknisk feil (som et strømbrudd) eller er en planlagt handling spiller for de fleste mindre rolle i planleggingen av de første beredskapstiltakene.