og beredskapstiltak mot terrorhandlinger - en veiledning - Politiet

nsm.stat.no

og beredskapstiltak mot terrorhandlinger - en veiledning - Politiet

En veiledning

Sikkerhets- og beredskapstiltak mot terrorhandlinger

Utgitt av Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politiets sikkerhetstjeneste


Sikkerhetsråd

01

Gjennomfør en risikovurdering for å kartlegge

hvilke verdier som må beskyttes,

hvilke sårbarheter som kan utnyttes og hvilke

trusler virksomheten kan være utsatt for.

06

Ha færrest mulige adgangspunkter til

bygningen og sørg for at ansatte, besøkende

og kjøretøy har adgangstegn. Hvis det er

mulig, bør ikke uautoriserte kjøretøy

parkeres i eller i nærheten av bygningen.

02

Sørg for god grunnsikring. Installer fysiske

tiltak i bygningen slik som låser, alarmer,

kamerovervåkning, ekstra belysning ute

og inne m.m.

07

Vurder hvordan virksomheten best kan

beskytte sensitiv informasjon og hvilke

IKT-sikkerhetstiltak som er nødvendige.

03

Sørg for at virksomheten har en sikkerhetsansvarlig

og at de ansatte er kjent med

sikkerhetsrutiner, evakueringsplaner

og er årvåkne overfor aktuelle trusler.

08

Lag et beredskapssystem for virksomheten

med forberedte tiltak som kan iverksettes

ved endringer i risikobildet eller dersom

det skjer en hendelse.

04

Sørg for god adgangskontroll og kontroll

med post og varer. Vurder om det er nødvendig

å ha eget postmottak med relevant

utstyr.

09

Gjennomfør øvelser for å teste planene.

Tenk gjennom og ha en plan for å opprettholde

virksomhetens funksjon dersom

bygningen og IKT-systemene er utilgjengelige.

05

Sørg for at det er god orden og ryddig i bygg

og nærliggende områder. Hold publikumsområder

og omgivelser ryddige og godt

opplyst, fjern unødvendige møbler og

søppeldunker mv.

10

Søk råd og opplysninger hos politiet

og andre myndigheter. Etabler gode

rutiner for kontakt mellom virksomheten

og politi/nødetater.

sikkerhetsråd 3


Innhold

01 02 03 04

Bakgrunn og

beskrivelse av

ansvar og roller 8

Trusselbildet 9

Hva er terrorisme? 9

Sikkerhet og beredskap 10

Sikkerhetsloven 10

Ansvar og roller 10

Sikkerhetsarbeid i de

enkelte virksomheter 11

prosess for

utarbeidelse av

virksomhetens

sikkerhetstiltak 12

Planlegging og organisering

av arbeidet 13

Verdivurdering 14

Virksomhetens

sikkerhetsmål 14

Trusselvurdering 15

Sårbarhetsvurdering 16

Risikovurdering 17

Strategier for

risikohåndtering 18

Forebyggende versus

skadereduserende tiltak 18

Skjulte versus synlige tiltak 18

Teknologi, organisasjon

og menneske 19

Kvalitetssikring 19

Beredskapssystemet

22

Lokale beredskapsnivåer 23

Fastsettelse av lokalt

beredskapsnivå 24

Skjematisk fremstilling

av beredskapssystemet 25

Virksomhetens tiltaksliste

basert på beredskapsnivå 26

Beredskapsnivå

og sikringstiltak 28

Bruk av tiltak i de ulike

beredskapstrinn 29

Eksempler på tidsbegrensede

og forsterkende

sikkerhetstiltak 31

4 innhold


Forord

Arbeidet med å forebygge terrorhandlinger er en viktig

global oppgave. Selv om Norge har vært forskånet fra

konkrete terrorhandlinger, er det likevel nødvendig å

være forberedt på å håndtere situasjoner dersom vi

i fremtiden skulle bli utsatt for slike handlinger. Nye

aktører innen kriminalitet, ekstremisme og terrorisme

har kommet til. I tillegg har teknologier og metoder

utviklet seg. Dette krever at man tenker nytt og har gode

systemer for å tilpasse sikringstiltakene, slik at de er

relevante i forhold til det aktuelle risikobildet. De enkelte

virksomheter har et ansvar for å sikre egen aktivitet,

herunder personell, informasjon og infrastruktur. Dette

innebærer en forpliktelse til å planlegge for egne sikkerhetstiltak

samt drifte og vedlikeholde disse, og kommer

i tillegg til myndighetenes oppgaver.

Veilederen gir råd om hvordan man tidsbegrenset

kan øke eller eventuelt redusere sikkerhetsnivået ved

å utarbeide beredskapsplaner for dette i den enkelte

virksomhet. Fokus for denne veilederen er tidsbegrensede

forebyggende sikkerhets- og beredskapstiltak.

Veilederen er tiltenkt å være et hjelpemiddel for offentlige

og private virksomheter i å systematisere og tilpasse

egne tidsbegrensende sikringstiltak i forhold til verdiene

virksomheten ønsker å beskytte, sårbarheter som kan

utnyttes og aktuelle trusler.

Selv om veilederen fokuserer på sikkerhetsplanlegging

mot terrorhandlinger, vil rådene som gis også være til

nytte i arbeidet med å forebygge annen kriminalitet

og sikkerhetstruende virksomhet.

Anbefalingene i veilederen bygger på erfaringer og

praksis nasjonalt og internasjonalt. Et trinnvis oppbygget

beredskapssystem med tilhørende tiltak kan være en

god måte å systematisere sikkerhets- og beredskapsarbeidet

på i den enkelte virksomhet.

Sikkerhets- og beredskapsarbeidet er et lederansvar, men

berører alle nivåer i virksomheten. Det er viktig at arbeidet

får den prioritet og den oppmerksomhet som kreves.

Praktiske øvelser vil være viktig for å forvisse seg om

at planlagte tiltak er effektive. Øvelser gir nyttig erfaring

som må tilbakeføres for å forbedre eksisterende tiltak

og planer.

Politidirektoratet, Politiets sikkerhetstjeneste og Nasjonal

sikkerhetsmyndighet håper at veilederen vil være et nyttig

hjelpemiddel i planleggingen internt i virksomheten.

Kjetil Nilsen Ingelin Killengreen Janne Kristiansen

Direktør NSM Politidirektør Sjef PST

Oslo, 1. september 2010

forord 5


Formål med veilederen

Formålet med veilederen er å gi offentlige og private

virksomheter et hjelpemiddel, slik at virksomheten kan

lage en plan for å iverksette relevante tidsbegrensede

sikringstiltak, for ved behov å møte en terrortrussel.

Behovet for å iverksette slike tiltak kan oppstå ved

endringer i risikobildet knyttet til mulige terrorhandlinger

– herunder endringer i trusselsituasjonen,

verdisituasjonen eller sårbarheten. Tiltakene er ment

å håndtere ekstraordinære situasjoner som går utover

hva som kan håndteres med grunnsikringen.

Det er viktig å påpeke at tiltakene som identifiseres

i denne prosessen må bygge på en grunnsikring, det

vil si at virksomhetene har et etablert sikkerhetsregime

for å ivareta sitt grunnleggende sikkerhetsbehov. I en

helhetlig tilnærming til sikring må ting gjøres systematisk

og i riktig rekkefølge. Dersom virksomheten ikke

har en tilfredsstillende grunnsikring, må dette prioriteres

først.

Det er stor variasjon når det gjelder ulike virksomheters

egne sikringstiltak, - alt fra få enkle til svært omfattende

tiltak. Noen virksomheter er mer utsatt enn andre,

avhengig av virksomhetens formål, driftsform og lokalisering.

Det vil også kunne være stor variasjon når det

gjelder hvilke typer sikringstiltak som vil være aktuelle

å iverksette mot tenkelige og sannsynlige anslag.

Det er utarbeidet et sikkerhetsgradert Sivilt beredskapssystem

(SBS), som sammen med Beredskapssystem

for Forsvaret (BFF) utgjør Nasjonalt beredskapssystem

(NBS). Dette systemet tilrettelegger for en rekke

forhåndsplanlagte sektortiltak for å forebygge

eller redusere skadeomfang ved kriser, katastrofer,

terroranslag og krig. For de virksomhetene som er

omfattet av det nasjonale beredskapssystemet,

må veilederen sees i sammenheng med kapittel 6

i disse planverkene.

Veilederen beskriver faktorer som må ivaretas for

å oppnå en helhetlig tilnærming til sikring. Den er

bygget opp slik at den kan følges kronologisk. Den

kan også benyttes som et hjelpemiddel for å etablere

en grunnsikring. Virksomheten må imidlertid selv avklare

hvilke formelle krav den eventuelt må forholde seg til,

for eksempel sikkerhetsloven eller annen lovgivning.

6 Formål med veilederen


Bruk av veilederen

Veilederen er bygget opp slik at flest mulig skal kunne

dra nytte av den, uansett hvilket nivå virksomheten

befinner seg på når det gjelder forebyggende sikkerhet.

Veilederen er delt inn i fire kapitler som kan leses kronologisk

eller hver for seg, alt etter behovet for veiledning

i den enkelte virksomhet.

Kapittel 2 beskriver en anbefalt prosess for utarbeidelsen

av virksomhetens sikkerhetstiltak. Denne vil være

felles for alle typer sikkerhetsvurderinger som skal

resultere i konkrete forebyggende tiltak, og vil kunne

brukes i en rekke sammenhenger. Likeledes kan en

virksomhet som allerede har lagt arbeidet med risikovurdering,

mål og strategi bak seg, velge å kun benytte

seg av beskrivelsen for oppsett av beredskapssystem

og – nivåer i kapittel 3, eller plukke konkrete sikringstiltak

fra samlingen med eksempler i kapittel 4.

Veilederen er ugradert, da den beskriver generelle

offentlig tilgjengelige prosesser og gir eksempler på

allmenne tiltak. Planen som virksomhetene utarbeider

på bakgrunn av denne veilederen, vil imidlertid kunne

være mer sensitiv og derfor ha et skjermingsbehov.

Det kan derfor være aktuelt å sikkerhetsgradere disse

planene. Årsaken til dette er at den ferdige planen vil

beskrive ulike tiltak virksomheten planlegger å implementere

ved ulike hendelser og trusselnivåer. Dette

kan være interessant for en motstander som kanskje

vurderer å gjennomføre en uønsket handling. I tillegg

vil det være vanskelig eller umulig å velge andre typer

tiltak om de opprinnelig planlagte blir kjent av

uvedkommende. Det er viktig å informere og motivere

de ansatte om dette ved blant annet øvelser og trening.

For virksomheter som ikke er sikre på kvaliteten og

metodebruken i det arbeidet som er gjort tidligere,

anbefales det å følge veilederen kronologisk gjennom

samtlige kapitler.

Bruk av veilederen 7


01

Dette kapittelet redegjør for bakgrunnen for å lage

en veileder for sikkerhets- og beredskapstiltak mot

terrorhandlinger, og tar for seg enkelte grunnleggende

begreper innenfor forebyggende sikkerhet og

beredskap. Det beskriver ansvar og roller hos noen

relevante myndigheter og de sikkerhetsansvarlige

i virksomhetene.

8 Her kan det stå en tekst


Bakgrunn og beskrivelse

av ansvar og roller

Trusselbildet

Terrorisme som metode forekommer innenfor ulike

politiske og religiøse retninger. I de siste ti årene har

imidlertid ekstreme islamistiske organisasjoner, som

blant annet al-Qaida, representert den største terrortrusselen

i Europa. Det er grunn til å anta at al-Qaida

og organisasjoner, grupper og personer inspirert av

al-Qaida fortsatt vil representere den største trusselen

mot Europa og Norge i årene fremover.

Ekstreme islamistiske grupper har stått bak store aksjoner

i Europa, der mange sivile liv er gått tapt. Al-Qaida

ønsker trolig fremdeles å gjennomføre aksjoner i Europa

som i omfang tilsvarer terrorhandlingene i Madrid

i 2004 og London 2005. Samtidig omfatter dagens

terrortrussel også faren for at ekstreme islamistiske

grupper iverksetter aksjoner som ikke nødvendigvis

tar mange sivile liv, men som påfører betydelig skade

og skaper utbredt frykt og uro i sivilbefolkningen. Denne

trusselen er særlig forbundet med fremveksten av flere

voldelige islamistiske grupper bestående av personer

som er født og oppvokst i Europa.

Det nasjonale trusselnivået i Norge er i dag lavt. Terrortrusselen

i Europa vil imidlertid fortsatt være preget av

betydelig uforutsigbarhet. Det er i utgangspunktet store

variasjoner i trusselnivået innenfor Europa. Det finnes

grupper og personer som sympatiserer med og aktivt

støtter ekstrem islamistisk ideologi i de aller fleste

europeiske land. Erfaring viser at utviklingen av voldelig

intensjon i et miljø kan skje raskt, og det foreligger

få gode indikatorer på hva som utløser en slik radikaliseringsprosess.

Terrorgrupper er sikkerhetsbevisste,

og man kan ikke påregne noen varslingstid før et

eventuelt terrorangrep. I frie og åpne samfunn som

de europeiske, er det derfor en betydelig grad av usikkerhet

knyttet til beskrivelser av trusselsituasjonen.

Hva er terrorisme?

Det finnes ingen entydig og presis definisjon av

begrepet terrorisme. I norsk lovgivning er terrorbegrepet

behandlet på ulike steder. Sikkerhetsloven

definerer terrorhandlinger som: «ulovlig bruk av,

eller trussel om bruk av, makt eller vold mot personer

eller eiendom, i et forsøk på å legge press på landets

myndigheter eller befolkning eller samfunnet for øvrig

for å oppnå politiske, religiøse eller ideologiske mål».

I Norge er terrorvirksomhet ansett som kriminelle

handlinger og omfatter bl.a. å sette menneskers liv

eller helse i fare, ødeleggelse av eller alvorlig skade

på eiendom, å forstyrre prosesser eller systemer

som opprettholder et demokratisk styre og/eller

samfunnets økonomiske velferd og virkemåte.

bakgrunn og beskrivelse av ansvar og roller 9


Sikkerhet og beredskap

Sikkerhet kan defineres som fravær av uønskede

hendelser, frykt eller fare. Begrepet brukes også om

de tiltak som benyttes for å oppnå denne tilstanden.

I denne sammenhengen menes beskyttelse mot

ondsinnede handlinger.

Beredskap defineres i denne sammenheng som forberedelsen

av de tiltak som iverksettes for, på kort varsel,

å øke sikringstiltakene utover grunnsikringen.

En annen form for beredskap er forberedelser til å

håndtere en akuttsituasjon, krise eller en katastrofe,

samt hvordan virksomheten raskt kan komme tilbake

til normal produksjon igjen om skaden allerede har

skjedd. Veilederen vil ikke ta for seg dette.

Sikkerhetsloven

Sikkerhetsloven omfatter alle forvaltningsorganer

som er i besittelse av skjermingsverdig informasjon

eller objekt, leverandører til disse som kan få tilgang

til skjermingsverdig informasjon eller objekt, samt noen

spesielt utvalgte andre virksomheter av kritisk betydning

for samfunnet. Disse virksomhetene «plikter å treffe

nødvendige forebyggende sikkerhetstiltak for å beskytte

skjermingsverdige objekter mot sikkerhetstruende virksomhet».

Hovedansvaret for beskyttelse av skjermingsverdige

objekter ligger hos den som eier eller råder over objektet.

Det påpekes også at objektenes art, omfang og verdi

kan være så varierende at det ikke er hensiktsmessig å

implementere krav i loven om konkrete sikkerhetstiltak.

Sikringstiltakene må tilpasses det enkelte objekt. Veilederen

kan være et nyttig utgangspunkt for virksomhetens

planlegging.

Departementene skal i henhold til sikkerhetsloven sørge

for at det utpekes skjermingsverdige objekter innen sitt

myndighetsområde: Objektene skal klassifiseres som

MEGET KRITISK, KRITISK eller VIKTIG. Ut fra klassifiseringen

skal objektene beskyttes med sikkerhetstiltak

som skal bestå av en kombinasjon av barrierer, deteksjon,

verifikasjon og reaksjon, som i sum skal innfri kravene

for den aktuelle klassifisering.

Ansvar og roller

Nasjonal sikkerhetsmyndighet (NSM) En hovedoppgave

for NSM er å legge forholdene til rette for god

sikring av informasjon og objekter som kan være spionasje-,

sabotasje- eller terrormål, for effektivt å kunne

motvirke trusler mot rikets selvstendighet og sikkerhet

og andre vitale nasjonale interesser. Det vil si planlegging,

tilrettelegging, gjennomføring og kontroll av

forebyggende sikkerhetstiltak som søker å fjerne eller

redusere risiko som følge av sikkerhetstruende virksomhet.

Med sikkerhetstruende virksomhet menes forberedelse

til, forsøk på eller gjennomføring av spionasje,

sabotasje eller terrorhandlinger, samt medvirkning til slik

virksomhet. NSM har det daglige forvaltningsansvaret

av sikkerhetsloven med forskrifter.

NSM har ansvar for håndtering av alvorlige dataangrep

mot samfunnskritisk infrastruktur og informasjon.

NorCERT er en avdeling i NSM som skal forebygge og

reagere på angrep fra Internett mot kritisk infrastruktur

i Norge. NSM holder oversikt over sikkerhetssituasjonen

i samfunnskritisk IKT-infrastruktur, og har til enhver tid

et oppdatert IKT-trussel- og sårbarhetsbilde.

Politidirektoratet (POD) POD har ansvaret for

ledelse og oppfølging av politidistriktene og politiets

særorganer, med unntak av Politiets sikkerhetstjeneste

(PST).

Direktoratets hovedoppgaver er bl.a. strategisk og

operativ samordning, etatsledelse, tilsyns-, forvaltningsog

beredskapsoppgaver. Direktoratet har en støttefunksjon

for politidistriktene og kan gi pålegg overfor

politi- og lensmannsetaten i det omfang som til enhver

tid er nødvendig og formålstjenlig.

Sikkerhetsspørsmål, som ikke faller inn under ansvarsområdet

til PST, ivaretas av direktoratet. I beredskapssituasjoner

vil direktoratet koordinere innsatsen mellom

flere politidistrikter og gi føringer for nivåer for ulike

sikkerhets- og beskyttelsestiltak.

10 bakgrunn og beskrivelse av ansvar og roller


Politiets sikkerhetstjeneste (PST) PST har som

hovedoppgave å forebygge og etterforske lovbrudd

som kan true nasjonens sikkerhet og selvstendighet,

og skal bidra til å sikre viktige samfunnsinteresser

og gjennom sin virksomhet være et ledd i samfunnets

samlede innsats for å fremme og befeste borgernes

rettsikkerhet, trygghet og alminnelige velferd.

Tjenesten benytter ulike metoder og arbeidsmåter.

Sentralt står innsamling av informasjon i tilknytning

til personer og grupper som kan utgjøre en trussel

mot rikets sikkerhet, utarbeidelse av analyser og trusselvurderinger,

etterforskning og andre operative tiltak.

PST utgir årlig en ugradert nasjonal trusselvurdering.

PST skal gi bistand og råd ved gjennomføring av sikkerhetstiltak

i forsknings- og undervisningsinstitusjoner,

statsadministrasjonen og offentlige og private virksomheter

av betydning for viktige samfunnsinteresser.

Politidistriktene Politiets oppgave er å forebygge

og bekjempe kriminalitet og andre forstyrrelser av den

alminnelige orden, samt beskytte person, eiendom og

all lovlig virksomhet. Terrorisme er en form for alvorlig

kriminalitet, og således en oppgave for politiet å forebygge

og bekjempe. Hvert politidistrikt har et selvstendig

ansvar for all polititjeneste i eget distrikt. Politiets oppgaver

i denne sammenheng vil bl.a. være å:

gi generelle råd om forebygging av kriminalitet

og råd om tiltak for å forebygge terrorhandlinger.

Dette gjøres i samarbeid med PST.

gi råd til offentlige og private virksomheter ved

utarbeidelse av beredskapsplaner.

respondere på og håndtere trusler og hendelser.

beskytte og sikre personer og objekter etter særskilt

vurdering. Ved behov kan politiet også få bistand

fra forsvaret.

etterforske trusler og hendelser.

Ved akutt mistanke, funn av mistenkelig gjenstander

eller trusler om terrorhandlinger må politiet varsles

umiddelbart på telefon 112 i en akuttsituasjon.

Lokalt politi vil kunne nås på telefonnummer 02800.

Politidistriktenes operasjonssentraler vil iverksette

strakstiltak og sende ut politipatruljer som respons

en hendelse. Politidistriktene er pålagt å ha særlige

planer for beskyttelse av definerte risikoobjekter i sitt

distrikt.

Sikkerhetsarbeid i de enkelte

virksomheter

Den enkelte virksomhet har et ansvar for egne forebyggende

sikkerhetstiltak. Sikkerhet er et lederansvar, og

virksomhetens leder må forsikre seg om at virksomheten

har en effektiv intern organisering av sikkerhetsog

beredskapsarbeidet, samt at sikkerheten er en del

av det daglige arbeidet som gjøres av ledere og ansatte.

Virksomhetens leder bør holdes løpende informert

om risikobildet, og hvilke tiltak som iverksettes for

å redusere risikoen ved behov.

Virksomhetens leder må, eventuelt i samarbeid med

virksomhetens styre og eiere, beskrive ønsket sikringsnivå

for virksomheten og kontrollere at dette faktisk

oppnås gjennom de tiltakene som iverksettes.

Virksomhetene anbefales å peke ut en egen sikkerhetsleder.

Denne har en viktig oppgave med å gjennomføre

og motivere for en helhetlig tilnærming til sikkerhet

i virksomheten, og å gi rådgivning og veiledning til ledelsen

og ansatte, samt rapportere og registrere hendelser.

Veilederen kan være et godt utgangspunkt for dette

arbeidet når det gjelder forebygging mot terrorhendelser,

blant annet ved å:

benytte råd og veiledninger fra sikkerhetsmyndigheter

til å utarbeide interne sikrings- og beredskapsplaner

dimensjonere og tilpasse sikringstiltakene i forhold

til verdi-, trussel- og sårbarhetsvurderinger samt

virksomhetens egenart, blant annet for å omfatte

sikkerhet for ansatte/besøkende, investerte verdier,

bygninger og lokaler m.v.

forsikre seg om at sikringstiltakene til enhver tid

er tilpasset situasjonen og gir den tiltenkte effekt

fremskaffe kunnskap om sikkerhetssituasjonen

og rapportere til virksomhetens øverste ledelse

sikre at de ansatte kjenner virksomhetens interne

sikkerhetsprosedyrer og er årvåkne overfor

terrortrusselen

gjennomføre interne øvelser for å kontrollere

at virksomheten kan respondere hensiktsmessig

på terrorrelaterte trusler og hendelser

opprette og vedlikeholde kontakt med politiet

og andre relevante aktører

bakgrunn og beskrivelse av ansvar og roller 11


02

Dette kapittelet beskriver prosessen som bør ligge

til grunn for implementering av sikringstiltak mot

terrorhandlinger. Kapittelet viser hvordan virksomheten

må gjøre en vurdering av egne verdier,

sårbarheter, trusler og samlet risiko, samt utforme

egne og konkrete mål med sikringstiltakene. Kapittelet

presenterer ulike strategier for håndtering av

risiko, og hvordan virksomheten kan kvalitetssikre

beredskapssystemet gjennom kontinuerlig oppfølging.

12 Her kan det stå en tekst


Prosess for utarbeidelse

av sikkerhetstiltak

Planlegging og organisering av arbeidet

Uavhengig av om det gjennomføres en revisjon av

eksisterende organisering og tiltak, eller om virksomheten

skal etablere tiltak mot terrorhandlinger for første gang,

er det viktig at arbeidet organiseres på en hensiktsmessig

måte, og ledes av virksomhetens sikkerhetsleder.

Arbeidet må forankres hos virksomhetens leder.

Det er viktig å informere og involvere alle berørte parter,

fordi hele virksomheten blir påvirket av eventuelle tiltak.

Systemet som etableres er dessuten avhengig av de

ansatte for å fungere som tiltenkt.

Veilederen fokuserer på punktet for risikovurdering

i risikohåndteringshjulet, som beskriver et forslag til

trinn i selve prosessen med å utvikle et beredskapssystem

med forebyggende tiltak mot terrorhandlinger.

Hvor omfattende og formell prosessen blir, vil blant

annet avhenge av størrelsen og kompleksiteten til

den enkelte virksomhet, samt hvilke interne og eksterne

krav virksomheten har til dokumentasjon.

Veilederen retter seg mot virksomheter som er ulike

både i størrelse og art. Felles for alle virksomheter er

imidlertid prosessen de må igjennom for å oppnå god

sikring i forhold til de mål som er satt for sikkerheten.

Kontroll og

revisjon

Planlegging

og organisering

Verdivurdering

Figuren til høyre er en versjon av risikohåndteringshjulet,

som viser hvordan det forebyggende sikkerhetsarbeidet

kan organiseres i en virksomhet.

Implementering

av tiltak

Risikovurdering

og valg av

strategi og tiltak

Sikringsmål

/ambisjon

Trusselvurdering

Revurdering

av mål/ambisjon

Valg av strategi

og forslag til tiltak

Risikovurdering

Sårbarhetsvurdering

prosess for utarbeidelse av sikkerhetstiltak 13


Verdivurdering

Gjennomføring av en verdivurdering er sentralt

i arbeidet med å innføre sikringstiltak mot terrorhandlinger.

Verdivurdering er en kartlegging og rangering

av virksomhetens verdier, for å identifisere hvilke

som er så viktige at de må beskyttes. Dette gjøres

ut fra en systematisk vurdering av hvilke konsekvenser

det kan få dersom ressursene rammes av uønskede

tilsiktede handlinger.

Verdiene som man ønsker å beskytte kan være mange

og ulike, for eksempel liv og helse, fysiske objekter

og gjenstander og sikkerhetsgradert eller sensitiv

informasjon. I tillegg har man mer abstrakte verdier

som omdømme, operativ evne, bevegelsesfrihet,

med mer. Ofte er det vanskelig å fastsette verdier som

ikke kan omgjøres til en kroneverdi. En måte å beskrive

slike verdier på kan være å beskrive konsekvensen av

fraværet av disse verdiene. Det er viktig å erkjenne at

alt ikke kan være like verdifullt og like viktig å beskytte.

Denne prioriteringen er vanskelig, men nødvendig.

Verdiene vil være dimensjonerende for hvilke mål

virksomheten setter seg i arbeidet med å fjerne eller

redusere risiko, og for hvor store ressurser som skal

brukes på sikkerhetstiltak. Verdivurdering og målsetning

legger premissene for det påfølgende arbeidet.

Uten å ha avklart dette, vil man ikke kunne verifisere

hvorvidt tiltakene man iverksetter har den ønskede

virkningen.

Virksomhetens sikkerhetsmål

Neste trinn er å bestemme seg for hva virksomheten

ønsker å oppnå med sikringstiltakene. Eksempler på

dette kan være å forhindre alle uønskede hendelser mot

de viktigste verdiene, eller å kunne motstå bare de mest

sannsynlige og skadelige typer angrep. Hvilke mål virksomheten

setter seg med sikringstiltakene vil ha betydning

for hvilke kostnader det medfører å beskytte seg.

Fastsettelse av mål er en forutsetning for å kunne velge

riktig strategi og for å vurdere om tiltakene har den

effekt de var tiltenkt.

Målene som settes her er ikke nødvendigvis endelige.

Hvis det identifiseres risiko som er uakseptabel i forhold

til opprinnelig målsetning, må denne søkes redusert

eller fjernet.

Det kan da bli nødvendig å justere målene med

utgangspunkt i tilgjengelige ressurser.

Eksempler på målsettinger

0-visjon – aksepterer ingen tap eller

påvirkning av spesifiserte verdier

Vi skal beskytte oss mot trusselaktører

av kategori X, men ikke nødvendigvis

mot kategori Y

Grunnsikringen vår skal kunne beskytte

oss mot trussel-aktører av kategori X,

men de tidsbegrensede tiltakene skal

beskytte oss mot kategori Y

Vi skal sørge for at den operative evnen

ikke blir påvirket ved en eventuell

hendelse samt redusere skadene

på øvrige verdier

14 prosess for utarbeidelse av sikkerhetstiltak


Eksempel på revurdering av sikkerhetsmål

Konsulentselskapet AS har kommet frem

til oppgaven med å velge ut tiltak for

beredskapssystemet sitt mot terrorhandlinger.

De avdekker da at beskyttelse av

et element man i utgangspunktet ønsket

å sikre, vil medføre høyere kostnader enn

et bortfall av dette elementet vil utløse.

Trusselen vurderes i tillegg som svært lav.

Konsulentselskapet anser derfor dette for

å være en risiko som er mer hensiktsmessig

å akseptere enn å håndtere på andre

måter, og den opprinnelige målsetningen

justeres i henhold til dette.

Trusselvurdering

En trusselvurdering er en beskrivelse og vurdering av

antatte trusselaktører, og deres intensjon og kapasitet.

En slik vurdering kan ha mange hensikter. De to som er

mest relevante i dette arbeidet er å identifisere trusselaktører,

deres farlighetsgrad samt mål og modus

operandi, for å kunne dimensjonere sikringstiltakene

riktig. I tillegg kan en trusselvurdering fungere som

en tidlig varsling med tanke på å få implementert

de tidsbegrensede sikringstiltakene i tide ved en økt

trussel.

Det er viktig å hente inn informasjon fra flere kilder.

Eksempler på slike er åpne kilder, virksomhetens

eller bransjens erfaringsdata, lokalt politi og Politiets

sikkerhetstjeneste. Det kan også være nyttig å identifisere

scenariene «mest sannsynlig» og «worst case»

dersom trusselbildet viser seg å bli for komplekst.

Relevante faktorer i en trusselvurdering er blant annet:

Historie eller uttrykt intensjon – eksisterer det

trusselaktører som tidligere har gjennomført

eller truet med å utføre en handling?

Tilstedeværelse – eksisterer det noen trusselaktører

i området eller regionen?

Kapasitet – har trusselaktørene ressurser

og kunnskap til å gjennomføre en handling?

Målvalg – har trusselaktørene valgt ut virksomheten

som et mål, direkte eller indirekte?

Prosess for utarbeidelse av sikkerhetstiltak 15


Det nasjonale trusselnivået

Hvilket trusselnivå som til enhver tid er

gjeldende, er offentlig tilgjengelig informasjon.

Virksomhetene bør være kjent med

dette. PST kan også vurdere trusselnivået

innen spesielle sektorer og i forbindelse

med større arrangementer mv. Det benyttes

fire trusselnivåer:

Lav En eller flere aktører kan ha intensjoner

om, men trolig ingen kapasitet til å ramme

bestemte interesser. Det foreligger en

mulig, men lite sannsynlig trussel.

Moderat En eller flere aktører kan ha intensjoner

om og kapasitet til å ramme bestemte

interesser. Det foreligger en mulig trussel.

Høy En eller flere aktører har intensjoner

om og kapasitet til å ramme bestemte

interesser. Det foreligger en generell

og uspesifisert trussel.

Ekstrem En eller flere aktører har

intensjoner om og kapasitet til å ramme

bestemte interesser. Det foreligger

en spesifikk og overhengende trussel.

Sårbarhetsvurdering

En sårbarhetsvurdering er en beskrivelse og vurdering

av i hvilken grad det er mulig for ulike trusselaktører

å utføre en uønsket handling, uten å bli stanset eller

påvirket.

Et sentralt begrep i en slik vurdering er mulighet.

I hvilken grad er det mulig for en trusselaktør å forsere

virksomhetens sikkerhetstiltak? Graden av mulighet vil

variere blant annet etter hvilken kapasitet trusselaktøren

har, herunder blant annet hvilken kunnskap, ferdighet

og verktøy som denne besitter eller kan få tilgang til.

Det er viktig å vurdere robustheten eller sårbarheten

i både de permanente og de forberedte, tidsbegrensede

tiltakene.

Et hensiktsmessig hjelpemiddel for å vurdere effektiviteten

av sikringstiltakene er tidsregnskapet. Ved å

innføre et fysisk sikringstiltak kjøper du deg tid og gjør

det vanskeligere for en trusselaktør å oppnå sitt formål.

Det sentrale er at den tiden du kjøper deg, er større

enn den tiden det tar før angrepet oppdages og varsles,

samt at det reageres på en hensiktsmessig måte.

I tilfeller der det ikke er hensiktsmessig å benytte

fysiske sikringstiltak, kan man bruke andre strategier

for å redusere sårbarheten. Eksempler på dette kan

være økt bruk av organisatoriske og aktive tiltak som

årvåkenhet, overvåkning samt ulike skadereduserende

tiltak.

16 prosess for utarbeidelse av sikkerhetstiltak


Risikovurdering

Når relevant informasjon er hentet inn og analysert

i verdivurderingen, trusselvurderingen og sårbarhetsvurderingen,

må kunnskapen sammenstilles i en

risikovurdering.

Risikovurderingen er ikke en kvantitativ, men en kvalitativ

vurdering, blant annet fordi det kan være vanskelig

å anslå trusselaktørenes intensjon og kapasitet. En

risikovurdering vil derfor alltid innebære en viss grad

av subjektivitet. Som regel er dette uproblematisk, da

det sentrale er selve prosessen og identifiseringen av de

ulike momentene som er med på å påvirke sluttresultatet.

Det er mange ulike metoder som kan benyttes for

å gjennomføre en risikovurdering. De fleste benytter

momenter som verdi, trussel og sårbarhet i vurderingen.

Det er imidlertid et skille mellom de metodene som

er utarbeidet primært for sikring (security) og de

som primært er for trygghet (safety). I denne

sammenhengen anbefales det at en metode som

er spesielt tilpasset sikring benyttes.

Figur: Risikotrekanten

Forholdet mellom verdi, sårbarhet, trussel

og risiko kan illustreres i risikotrekanten.

Figur a) viser en total risiko (R) som et utslag

av forholdet mellom de tre variablene verdi

(V), sårbarhet (S) og trussel (T).

Figur b) viser hvordan en reduksjon av en

av variablene (i dette tilfellet: sårbarhet)

vil medføre en mindre total risiko. På samme

måte vil en økning av en variabel også øke

den totale risikoen.

a)

V

R

S

T

b)

V

R

S

T

prosess for utarbeidelse av sikkerhetstiltak 17


Strategier for risikohåndtering

Neste trinn i prosessen er å undersøke hvilken strategi

eller kombinasjon av strategier det er mulig å benytte

for å redusere eller fjerne den eventuelt uønskede

risikoen som ble avdekket i risikovurderingen.

Virksomheten har tradisjonelt fire ulike strategier

å velge mellom. Disse er å unnvike problemet,

overføre risikoen til andre, akseptere risikoen eller

redusere/fjerne den.

Unnvikelse Når risikoen er vurdert å være for høy,

og det ikke er gode grunner for å akseptere den, eller

mulighet til å overføre, fjerne eller redusere den, må

virksomheten vurdere om den skal la være å gjennomføre

handlingen eller oppgaven.

Dette er ikke nødvendigvis en permanent beslutning,

men kan være styrt av for eksempel en høy trussel

i en kortere eller lengre periode. Dette kan kanskje være

spesielt relevant for virksomheter som har begrensede

muligheter for å forebygge en uønsket hendelse, og

som i hovedsak må basere seg på en skadereduserende

strategi.

Det kan også være en mer permanent strategi for

eksempel om verdiene man forvalter eller eier, er av

en slik karakter at selv den minste risiko er uakseptabel.

Overføring Overføring av risiko kan skje på flere måter.

En variant er utkontraktering. I dette tilfellet betaler

virksomheten for at noen andre skal gjennomføre

handlingen eller oppgaven. Noen relevante eksempler

er vakt- og sikringsoppgaver, verditransport og drift

av IKT-systemer.Det er fordeler og ulemper med dette.

Lojalitet og mulighet for kontroll ved ansettelser og av

drift er imidlertid relevante problemstillinger for virksomheter

som utkontrakterer oppgaver. Dette kan være

spesielt viktig om tjenestene leveres og styres fra andre

land enn Norge.

Forsikring er et annet eksempel på overføring av risiko.

Aksept Aksept av risiko kan deles inn i to kategorier

– passiv eller aktiv. Passiv aksept innebærer at virksomheten

tar kostnaden for eller problemene med den

uønskede hendelsen når den kommer: såkalt

selvassurandør. Aktiv aksept innebærer at virksomheten

forventer et visst tap på bakgrunn av uønskede handlinger

og setter av en sum penger, dersom det er snakk

om en pengeverdi, eller har en stående reserveløsning

som vil brukes når tapet er et faktum. Hva som er

akseptabelt, vil variere med virksomhet og situasjon.

Fjerning eller reduksjon Den risikoen som ikke kan

overføres, unnvikes eller aksepteres må søkes redusert

eller fjernet gjennom permanente eller tidsbegrensede

tiltak.

Forebyggende versus skadereduserende

tiltak

I arbeidet med sikkerhet er det vanlig å skille mellom

forebyggende og skadereduserende tiltak. Forebyggende

tiltak er ment å forhindre at uønskede hendelser

oppstår. Skadereduserende tiltak er ment å redusere

konsekvensene dersom en uønsket hendelse likevel inntreffer.

For å få en helhetlig tilnærming til sikringstiltakene,

er det nødvendig å benytte seg av begge strategier.

Forebyggende tiltak kan for eksempel være adgangskontroll,

skjerpet vakthold og avsperring av områder.

Skadereduserende tiltak kan for eksempel være

splinthemmende film/folie på vindusglass eller back-up

løsninger for kritiske IKT-systemer.

Skjulte versus synlige tiltak

Avgjørelsen av om man skal benytte skjulte eller

synlige tiltak vil avhenge av situasjonen. Det er fordeler

og ulemper med begge alternativene. Fordelen med

synlige tiltak er blant annet at de gir et sikkerhetspreg

som kan virke avskrekkende på noen trusselaktører.

En ulempe kan være at synlige tiltak kan oppleves

som skremmende for noen, som endrer sin oppførsel

på bakgrunn av tiltakene.

Fordelen med skjulte tiltak kan være nettopp å unngå

å skape unødig frykt. En annen fordel kan være at en

eventuell trusselaktør lettere kan bli identifisert, og

kanskje avverget, om de ikke kjenner til at tiltakene

er blitt iverksatt og at f.eks. overvåkingen av et område

har økt.

En kombinasjon av synlige og usynlige tiltak kan være

nødvendig.

18 prosess for utarbeidelse av sikkerhetstiltak


Teknologi, organisasjon og menneske

Sikringstiltak kan deles inn i tre ulike kategorier,

teknologiske, organisatoriske og menneskelige.

For å oppnå målsetningen med å sikre objekter eller

informasjon, vil det i mange tilfeller være avhengig

av en kombinasjon av tiltak innenfor de ulike kategoriene

som virker sammen. Jo større og mer kompleks

en virksomhet er, jo viktigere blir denne kombinasjonen

og kategorienes avhengighet av hverandre.

Med teknologiske sikringstiltak menes fysiske,

elektroniske og logiske sikringstiltak.

Med organisatoriske sikringstiltak menes policyer,

regelverk, instrukser, veiledninger og annet som

skriftlig eller muntlig regulerer atferd og/eller

anvendelse av teknologiske sikringstiltak.

Med menneskelige sikringstiltak menes tiltak

rettet mot enkeltmennesker og grupper. Dette

er psykologiske og sosiologiske tiltak som påvirker

adferd og reell evne til å bruke teknologiske

sikringstiltak og følge organisatoriske sikringstiltak.

Det kan også være tiltak som iverksettes av

individer og/eller grupper for å hindre en uønsket

hendelse, i fravær av teknologiske og organisatoriske

tiltak. Denne kategorien er særlig viktig,

da de to andre kategoriene raskt kan bli

virkningsløse om mennesket svikter.

Eksempler på viktigheten

av menneskelige tiltak

Konsulentselskapet AS kjøper inn dyre og

sikre verdiskap til alle sine ansatte. De følger

opp kjøpet med gode skriftlige instrukser

om hvordan skapene skal låses og åpnes,

og hvordan nøkler og koder skal oppbevares.

De ansatte synes imidlertid løsningen

er tungvint, og velger å oppbevare

dokumentene sine i ulåste skuffer og skap.

Effekten av de to første tiltakene blir fullstendig

fraværende på grunn av mangelen

på menneskelige tiltak gjennom bevisstgjøring

av de ansatte.

Kvalitetssikring

Beredskaps- og sikkerhetsplaner bør systematisk øves,

testes, kontrolleres, vedlikeholdes og revideres for å sikre

at de fungerer som tiltenkt og er tilpasset virksomhetens

behov. Eksterne så vel som interne faktorer kan og vil

forandre seg, og planene må gjenspeile dette.

Det finnes flere måter å kvalitetssikre en virksomhets

beredskapsplaner på, og de vanligste beskrives her.

Øvelser Hyppigheten av øvelser vil være avhengig

av blant annet virksomhetens struktur, risikobilde eller

resultatet av tidligere øvelser.

En øvelse kan være altomfattende og involvere alle

aspekter av planverket og alt personell, eller rettet mot

et begrenset område av beredskapsplanen og begrensede

personellgrupper og utstyr. Eksempel på en slik

begrenset øvelse kan være å gjennomføre en evakuering

fra bygningen.

En øvelse bør ha en overordnet målsetting og en beskrivelse

av hva man forventer å få ut av øvelsen. Det kan

være formålstjenlig å fokusere på svakheter som er

avdekket i tidligere øvelser.

prosess for utarbeidelse av sikkerhetstiltak 19


Øvelsene bør sikre at personell med særskilt ansvar

kjenner til hvilke tiltak de skal treffe og hva som er

deres rolle i det aktuelle scenariet, og at planlagte tiltak

er godt kjent og innøvd. Øvelsene bør også sikre at

de ansatte er godt kjent med hvilke tiltak som treffes

dersom en hendelse skulle inntreffe. Eksempler her

er evakueringsplaner, tiltak for å sikre områder ved

bombealarm, samlingsplasser etc.

I tillegg til å øve prosedyrer og tiltak, bør øvelsene

omfatte testing og kontroll av nødvendig utstyr, for

eksempel varslingsanlegg, kommunikasjons- og

høyttaleranlegg. Også rutiner og ansvar for å kontakte

nødetater og eventuell rapportering til sentralt hold

er relevant.

Like viktig som øvelsen selv er evalueringen etterpå.

Evalueringen bør være en systematisk gjennomgang av

øvelsen i ettertid for å identifisere forbedringspunkter.

Dersom øvelsene avslører svakheter i prosedyrer og

tiltak, må planverket justeres. Etterfølgende øvelser

bør fokusere på svakhetene som tidligere ble påvist.

Øvelser kan ha forskjellig form og være beregnet på

forskjellige nivåer i virksomheten. Det er nødvendig

å ha klart for seg hvilke nivåer som skal øves, slik at

relevante problemstillinger blir spilt inn til de rette

nivåene. De vanligste typer øvelser er:

Bordøvelser (tabletop): En øvelsesform hvor tiltak

ikke iverksettes reelt. Deltakerne samles rundt et

bord. Problemstillinger blir spilt inn, og de enkelte

deltagere legger frem sine bidrag til løsning. Hver

problemstilling blir behandlet helt ut før neste blir

lagt frem.

Spilløvelser: En egen spillstab styrer øvelsens gang.

Øvingsdeltakerne jobber ut fra de posisjonene de

ville hatt i et reelt tilfelle. Spillstaben gir innspill

i tilnærmet sanntid etter en planlagt hendelsesoversikt

(dreiebok). Øvelsen begrenser seg til at

beslutninger blir tatt og tiltak blir beordret, men

tiltakene blir ikke iverksatt. Avgjørelser må tas

mens et scenario utspiller seg på samme måte

som det ville gjort i en virkelig situasjon. Slike

øvelser gir en høy grad av realisme uten å involvere

store ressurser, samtidig som beslutningstagere

får samarbeide slik de vil måtte gjøre i en reell

situasjon.

Feltøvelser: En feltøvelse er en praktisk innsatsøvelse.

Øvelsen styres av en spillstab på lik linje

med en spilløvelse, men i tillegg blir tiltakene,

eller enkelte av tiltakene, satt ut i livet. Dette er

en ressurs- og personellkrevende måte å øve på,

men vil på en god måte verifisere at tiltak fungerer

hensiktsmessig og at personellet kjenner sine roller

og innholdet i beredskapsplanen. En slik øvelse

kan også være lærerik når det gjelder å koordinere

innsats med eksterne aktører, eksempelvis politi

og andre nødetater.

Kontroll og testing Regelmessige kontrollrutiner er

viktig for å sikre at nødvendig utstyr og rutiner fungerer

som de skal. Kontakt- og varslingslister, sperremateriell,

back-up strømforsyninger, informasjonsmedier, sambandsutstyr/kommunikasjonsmidler,

førstehjelpsutstyr,

brannslokkingsutstyr er eksempler på hva som bør være

gjenstand for regelmessig kontroll.

I tillegg kan det være hensiktsmessig å foreta regelmessige,

men uvarslede tester av enkelte deler av beredskapsplanen.

Slike tester vil bedre enn noe annet vise

«tingenes reelle tilstand». Eksempler på dette er

å gjennomføre en uvarslet evakueringsøvelse, eller

å kontakte personell uten forvarsel og be dem iverksette

i henhold til prosedyrer for et bestemt beredskapsnivå.

20 prosess for utarbeidelse av sikkerhetstiltak


Vedlikehold og revisjon En beredskapsplan må

vedlikeholdes og revideres regelmessig. Sikringstiltakene

som er planlagt bør regelmessig gjennomgås

for å sikre at de fungerer som de skal.

Dersom det skjer endringer i forutsetningene for planen,

bør dette følges opp i planen så snart som mulig.

Eksempler på faktorer som kan kreve endringer

i beredskapsplanverket, er:

Endringer i organisasjonsstrukturen

Fysiske endringer (flytting, utbygging av kontorlokaler,

oppussing)

Endringer i trusselbildet

Store endringer kan medføre behov for å utarbeide ny

risikovurdering og legge denne til grunn for en større

revisjon av beredskapsplanverket. Det anbefales uansett

å gjennomføre en risikovurdering med jevne mellomrom.

prosess for utarbeidelse av sikkerhetstiltak 21


03

Dette kapittelet viser en skjematisk fremstilling

av et nivåbasert beredskapssystem, og tar for seg

prosessen med å velge ut konkrete tiltak til de ulike

beredskapsnivåene. Kapittelet tar også for seg

metode for fastsettelse av lokalt beredskapsnivå,

og viser den dynamiske sammenhengen mellom

trusselnivå, verdi og sårbarhet.

22 Her kan det stå en tekst


Beredskapssystemet

Lokale beredskapsnivåer

Et beredskapssystem må være dynamisk og kunne

tilpasses endringer i virksomhetens risikobilde. Det

vil være hensiktsmessig at virksomhetens beredskapsplaner

er bygget opp med ulike nivåer.

Til høyre beskrives fire nivåer i tillegg til grunnsikringen,

som er normaltilstanden for virksomheten. Beredskapsnivåene

er ment å iverksettes i en tidsbegrenset og

ekstraordinær situasjon som følge av endringer i risikobildet.

Virksomhetene bør tilpasse sine konkrete tiltak

til disse beredskapsnivåene. Beskrivelsen av nivåene

er veiledende.

Det anbefales at beredskapsnivåene gis en betegnelse

som er lett forståelig og kjent for den enkelte ansatte

i virksomheten. Eksemplene nedenfor er i alminnelig

bruk i ulike virksomheter:

Bruk av tall - beredskapsnivå I, II, III, IV

Bruk av bokstaver - A, B, C, D

Bruk av farger - benyttes blant annet av politiet

i deres beredskapsplaner (grønn, gul, oransje og rød).

Bruk av bokstaver i kombinasjon med farge -

benyttes av NATO (A og B på gul bunn, C og D

på rød bunn)

Første beredskapsnivå

Dette beredskapsnivået gir uttrykk for en endring

eller usikkerhet i risikobildet, hvis art og omfang er

ukjent. Omstendighetene innebærer at det er behov

for å styrke grunnsikringen og årvåkenheten noe.

Andre beredskapsnivå

Dette nivået benyttes når det foreligger en økt

og mer spesifikk endring i risikobildet, selv om

ikke noe spesielt mål har blitt identifisert. Det

innebærer en betydelig økning av sikringsnivået

ved virksomheten, men daglig drift skal fortsatt

ivaretas.

Tredje beredskapsnivå

Dette nivået brukes når risikobildet tilsier at et

terrorangrep er overveiende sannsynlig. Et slikt nivå

medfører at drift og aktivitetsnivå ved virksomheten

reduseres betydelig og vanskelig kan opprettholdes

i mer enn korte perioder av gangen.

Fjerde beredskapsnivå

Tiltakene ved dette beredskapsnivået innføres når

en terrorhandling inntreffer, eller der etterretning

eller annen informasjon tilsier at et terrorangrep

mot et spesifikt, identifisert mål er overveiende

sannsynlig. Aktivitet og drift reduseres til et

minimum.

beredskapssystemet 23


Fastsettelse av lokalt beredskapsnivå

Beredskapsnivået bør i utgangspunktet fastsettes etter

en risikovurdering foretatt av virksomheten selv. Det er

ingen automatisk sammenheng mellom det generelle

nasjonale trusselbildet for Norge og det beredskapsnivå

som bør benyttes. Trusselen mot en virksomhet kan

både være større og mindre enn det generelle trusselbildet,

og vil være gjenstand for en vurdering av den

enkelte virksomhet eller på bakgrunn av en hendelse

eller situasjon som krever ekstra tiltak. En heving av

det nasjonale trusselnivået vil imidlertid medføre at virksomheten

må ta stilling til om dette påvirker deres eget

risikobilde og således krever et økt beredskapsnivå.

Det nasjonale trusselnivået vil være en av flere faktorer

i denne vurderingen. Råd om å styrke sikkerheten

kan også formidles fra politiet, med utgangspunkt

i trusselvurderinger fra Politiets sikkerhetstjeneste eller

lokale vurderinger foretatt av det enkelte politidistrikt.

Endringer i virksomhetens verdi eller sårbarhet kan og

påvirke risikobildet, og dermed hvilket beredskapsnivå

virksomheten bør ha.

Skjematisk fremstilling av beredskapssystemet

Figuren nedenfor viser eksempel på oppbyggingen

av et beredskapssystem. Tiltakene er inndelt i teknologiske,

organisatoriske og menneskelige kategorier, men

for enkelhets skyld er det ikke skilt mellom

forebyggende og skadereduserende tiltak.

Det er viktig at tiltakene i virksomhetens grunnsikring

og tiltakene i beredskapssystemet til sammen består

av en effektiv og hensiktsmessig kombinasjon av

forskjellige barrierer. Teknologiske grunnsikringstiltak

ligger for eksempel ofte til grunn for organisatoriske

beredskapstiltak.

De beredskapsnivå og tiltak som beskrives i veilederen

består av forsterkende og tidsbegrensede tiltak og er

i utgangspunktet ikke ment å skulle opprettholdes over

lang tid. Tiltak som iverksettes kan være ressurskrevende

og påvirke de ansatte eller organisasjonens virksomhet.

Normaltilstand bør derfor opprettes så snart dette er

mulig og forsvarlig. Dersom tiltakene må opprettholdes

over lang tid bør man vurdere å implementere dem

i grunnsikringen.

Grunnsikring

tiltak

Teknologiske Organisatoriske Menneskelige

Første

beredskapsnivå

Andre

Tredje

Fjerde

24 beredskapssystemet


Eksempler på fastsettelse

av beredskapsnivå

Eksempel 1:

På tross av at det nasjonale trusselnivået

er lavt, velger Konsulentselskapet AS å

heve sitt beredskapsnivå til nivå 2. Dette

gjøres fordi PST har vurdert trusselen mot

virksomheten til å være høyere på grunn av

deres forretningsvirksomhet i et konfliktfylt

område av verden.

Etter fire uker uten noen informasjon eller

indikasjoner om at de opplysningene man

hadde utgjør noen reell trussel for virksomheten,

velger Konsulentselskapet AS

å gjenopprette normal sikkerhetstilstand.

Beredskapsnivået senkes til 1.

Eksempel 2:

Det nasjonale trusselnivået er lavt.

Offentlighetsdirektoratet får imidlertid

besøk av statsministeren i forbindelse med

åpningen av sitt nye anlegg, og velger derfor

å heve beredskapen til nivå 2 under hele

besøket. Her vil også politiet kunne

iverksette tiltak, og virksomheten vil kunne

få råd fra politiet om hvilke tiltak som bør

iverksette. Straks besøket er over gjenopprettes

normal sikkerhetstilstand ved

direktoratet.

Eksempel 3:

Det nasjonale trusselnivået heves til høyt.

Konsulentselskapet AS velger likevel bare

å innføre enkelte tiltak, fordi de anser egen

virksomhet som et lite sannsynlig terrormål.

beredskapssystemet 25


Eksempel på teknologiske,

organisatoriske og menneskelige tiltak

Acme AS har investert i sikre dører med et

avansert elektronisk låssystem til alle sine

adgangspunkter (et teknologisk forebyggende

tiltak). I en normalsituasjon (grunnsikring)

åpnes disse ved at ansatte holder adgangskortene

sine foran kortleseren.

Ved beredskapsnivå 1 innføres og

PIN-kode for å åpne dørene, og ved nivå 2

differensieres adgangen for de ansatte

til kun å gjelde deres egne kontorer og

andre tjenestemessige nødvendige deler

av virksomhetens lokaler (organisatoriske

forebyggende tiltak).

Ved første heving av beredskapsnivå

innkalles alle ansatte til en brief, der

de blir informert om situasjonen som

foreligger, og der viktigheten av å følge

prosedyrer og være årvåken i forbindelse

med adgangskontroll understrekes

(menneskelig forebyggende tiltak).

Virksomhetens tiltaksliste basert

på beredskapsnivå

Virksomheten bør lage en tiltaksliste basert på virksomhetens

egenart, risiko- og sårbarhetsbilde og

eksisterende grunnsikring. Virksomhetens geografiske

plassering, profil og sikkerhetsstrategi legger og

grunnlaget for hvilke tiltak som er aktuelle.

Tiltakslisten kan utformes på tre måter:

a) En fast liste med tiltak for hvert av de fire beredskapsnivåene

som innføres automatisk og uavhengig

av årsaken til endringen i risikobildet

b) En liste med tiltak for hvert av de fire beredskapsnivåene,

der hvilke tiltak som skal iverksettes blir

gjenstand for en vurdering på bakgrunn av den aktuelle

situasjonen

c) En kombinasjon av a) og b)

De to sistnevnte modellene tar større hensyn til den

spesifikke risikoinformasjonen som foreligger, og

virksomheten har i større grad mulighet for å styre

konsekvensene for den daglige driften gjennom å kun

innføre de tiltak som synes hensiktsmessige. Disse

modellene har større fleksibilitet. For eksempel vil det

være mulig å benytte tiltak fra et høyt nivå på et lavere

nivå og motsatt.

De ansatte i virksomheten bør være kjent med hvilket

beredskapsnivå som er gjeldende, og hvilke sikkerhetsrutiner

som gjelder for dette. Det er derfor viktig med

god internkommunikasjon, og at alle som har behov

for det har tilgang til beredskapsplanene. Beredskapssystemet

kan også brukes til å indikere behovet for

å øke årvåkenheten, for eksempel ved at beredskapsnivået

høynes, men få eller ingen tiltak innføres.

Tiltakene kan systematiseres på en måte som gjør det

enkelt å formidle hvilke tiltak som innføres ved en heving

av beredskapsnivået, for eksempel 1.a, 1.b,…2.a, 2.b, osv.

der tallene representerer beredskapsnivå og bokstavene

de ulike tiltakene.

26 beredskapssystemet


Eksempel på implementering av tiltak

Konsulentselskapet AS velger, på bakgrunn

av informasjon fra PST og politiet om mulige

demonstrasjoner mot deres virksomhet,

å heve beredskapsnivået til 1. Grunnet

denne spesifikke trusselen er det ikke alle

1-tiltak som er hensiktsmessige, så noen

utelates. I tillegg innfører imidlertid bedriften

et tiltak som egentlig tilhører beredskapsnivå

2, da dette tiltaket er spesielt

relevant for situasjonen og det er fryktet

at situasjonen raskt kan endre seg og dette

tiltaket krever litt tid for å implementeres.

beredskapssystemet 27


04

Dette kapittelet inneholder eksempler på konkrete

sikringstiltak mot terrorhandlinger, inndelt

i hensiktsmessige kategorier.

28 Her kan det stå en tekst


Beredskapsnivå og sikringstiltak

Bruk av tiltak i de ulike beredskapstrinn

Eksemplene i dette kapittellet er ofte benyttede, generelle

sikkerhets- og beredskapstiltak som kan være hensiktsmessige

mot terrorhandlinger. Forslagene er ikke

uttømmende. Mange av tiltakene er generiske og kan

innføres i større eller mindre grad, og vil være aktuelle

på flere beredskapsnivåer. Eksempelvis er å «forsterke

adgangskontrollen» et tiltak som kan innføres på et lavt

beredskapsnivå og så styrkes ytterligere for hvert av

de neste nivåene.

Alle tiltakene vil ikke være like relevante for alle virksomheter.

Virksomhetene må selv bestemme hvilke

tiltak som er hensiktsmessige og hvorvidt de må

suppleres med andre tiltak. Geografisk plassering,

profil, type virksomhet, sikkerhetsstrategi, nivå

på grunnsikring og ikke minst virksomhetens

verdivurdering, trusselbilde og sårbarheter er

eksempler på faktorer som har betydning for hvilke

sikkerhets- og beredskapstiltak som er aktuelle.

Tiltakene er gruppert tematisk og inndelt i teknologiske,

organisatoriske eller menneskelige tiltak. Det er ikke

nødvendig at den endelige beredskapsplanen skiller

tiltakene på denne måten, men det er hensiktsmessig

for å systematisere utvelgelsen av tiltak til de forskjellige

nivåene.

Eksemplene skiller ikke mellom forebyggende og skadereduserende

tiltak, fordi oppsettet da ville blitt unødig

komplisert. Det er imidlertid viktig å ta hensyn til denne

inndelingen når man velger tiltak, og være bevisst på

om de enkelte tiltakene søker å forebygge selve terrorhandlingen

eller redusere skadevirkningene av den.

Beredskapstiltakene består av flest organisatoriske

og menneskelige tiltak. Teknologiske tiltak, som for

eksempel et adgangskontrollsystem, vil i mange tilfeller

allerede være en del av grunnsikringen. Bruken vil

imidlertid kunne skjerpes inn som følge av organisatoriske

beredskapstiltak når høyere beredskapsnivåer

innføres. Sandsekker eller andre former for mobile

fysiske barrierer er typiske tidsbegrensede teknologiske

tiltak.

Eksempler på valg av tiltak på bakgrunn

av sikkerhetsstrategi

Eksempel 1:

I Sikkerhetsdepartementet er en del av den

overordnede sikkerhetsstrategien å holde

en lav profil, uten synlige logoer eller

annen markering av biler eller kontorer.

beredskapsnivå og sikringstiltak 29


Ingen former for synlig vakthold inngår

som en del av deres beredskapsplan, da

dette antas å kun bidra til å tiltrekke seg

uønsket oppmerksomhet og således øke

risikoen i stedet for å redusere den.

Eksempel 2:

Konsulentselskapet AS er en virksomhet

som opererer i et marked med sterk konkurranse,

og det er viktig for virksomheten

å profilere seg tydelig. Deres bransje er

også generelt terrorutsatt. Det er derfor

viktig å signalisere til både ansatte og

besøkende at sikkerhet står i høysetet,

samtidig som man ønsker å fremstå som

et utilgjengelig mål for potensielle terrorister.

Uniformert vakthold og adgangskontroll er

i utgangspunktet en viktig del av grunnsikringen

til Konsulentselskapet AS, og denne

forsterkes allerede ved en forhøyelse til

beredskapsnivå 1.

Eksempel på innføring av tiltak på ulike beredskapsnivå

Beredskapsnivå

1 2 3 4

a

Alle ansatte må vurdere

egne aktivitetsmønstre og

endre disse regelmessig

Møtevirksomhet som

fordrer ekstern deltagelse

reduseres til minimum

Kun ansatte får adgang

til virksomheten

Kun ansatte med funksjoner

definert som «kritiske»

får adgang til virksomheten

b

Adgangskort

må bæres synlig

Bruk av pinkode

innføres på elektroniske

låssystemer

Ingen endring

Ansatte får kun adgang

til områder der de har

tjenstlig behov

c

Iverksette kontroll

av alle innpasserende

kjøretøy

Iverksette kontroll av

alle parkerte kjøretøy

på virksomhetens område

Ingen kjøretøy tillates

parkert nærmere enn 25

meter fra hovedkontoret

Ingen kjøretøy får kjøre

inn på virksomhetens

område

d

Gjennomgå rutiner for

mottak av post og varer

All post og varer skal

gå til post- og varemottak

for kontroll

Varer fra ukjente

avsendere avvises

Ingen endring

e

Sørge for at det er

ryddig og oversiktlig

La utvendig belysning

stå på når det er mørkt

Fjern søppelkasser fra

bygninger som er i bruk

Ingen endring

a, b, c, d, e = Tiltak

30 beredskapsnivå og sikringstiltak


Eksempler på tidsbegrensede

og forsterkende sikkerhetstiltak

Adgangskontroll for personell og besøkende

Hensikt: Begrense mulighetene for potensielle

aktører til å få adgang til bygninger/lokaler eller

nærliggende områder

Teknologiske tiltak

Der det er hensiktsmessig, etablere fysiske

sperringer for å hindre ferdsel

Organisatoriske tiltak

Vurdere behovet for antall adgangspunkter og

begrense eller stenge disse når dette er hensiktsmessig

Vurdere om forskjellige adgangspunkter kan brukes

tilfeldig for å vanskeliggjøre eventuelle anslag

Identifisere alle personer som kommer inn

i virksomheten ved å kontrollere ID-kort

Gjennomføre stikkprøvekontroller av håndbagasje

for besøkende/ansatte. Den som ikke samtykker

til kontroll, nektes adgang til virksomhetens område

Ledsage besøkende på en hensiktsmessig måte

Om mulig sikre at adgangskontrollene plasseres

bort fra områder som ligger nær oppholdssted

for ansatte

Kontrollere låsesystemer og foreta hyppigere

skifte av adgangskoder

Låse eller på annen måte sikre bygninger

og områder som ikke er i regelmessig bruk

Foreta kontroll av besøkende utenfor ordinært

mottaks- og resepsjonsområde

Begrense adgang til bygninger/lokaler for

besøkende som ikke tilhører virksomheten

Adgang til bygning/lokale gis kun til ansatte

Adgang til bygning/lokale gis kun til ansatte med

spesielle funksjoner når det gjelder drift av kritiske

systemer for virksomheten

Gjennomsøke personell og eiendeler som skal gis

adgang til bygning/lokale. Den som ikke samtykker

til kontroll, nektes adgang til virksomhetens område

Menneskelige tiltak

Skjerpe årvåkenheten overfor mistenkelige personer

og gjenstander

Adgangskontroll for kjøretøy

Hensikt: Redusere risikoen forbundet med at kjøretøyer

blir brukt til å aksjonere mot bygninger eller

å skjule gjenstander, for eksempel sprenglegemer

Teknologiske tiltak

Der det er hensiktsmessig, etablere fysiske

sperringer for å kontrollere ferdsel og hindre

uvedkommende kjøretøy adgang

Der det er hensiktsmessig, etablere hindringer

(sjikaner) for å redusere farten til kjøretøyer

som nærmer seg bygningen

Organisatoriske tiltak

Iverksette eller styrke kontroller ved inn- og utkjørsler

Gjennomgå virksomhetens parkeringsordninger

og eventuell bruk av underjordisk parkeringsanlegg.

Fastsette en minste avstand mellom bygninger

og parkerte kjøretøyer som kan brukes til å skjule

sprenglegemer, så langt unna som praktisk mulig

Gjennomføre stikkprøvekontroller av kjøretøyer

ved inn- og utkjørsler til virksomhetens område.

Den som ikke samtykker til kontroll, nektes adgang

til virksomhetens område

Menneskelige tiltak

Skjerpe årvåkenheten når det gjelder

mistenkelige kjøretøyer

Post- og varemottak

Hensikt: begrense muligheten for at post- og

varemottak benyttes til å gjennomføre anslag

mot virksomheten

Organisatoriske tiltak

Alle vareleveranser skal gå til post- og varemottak

Ikke tillate vareleveranser fra ukjente avsendere

Øke bruk av deteksjonsmidler

Menneskelige tiltak

Sikre at sikkerhetspersonell og personale

i postmottak er kjent med rutiner for mottak

av post ved høynet beredskap

Sikre at leverandører av varer og tjenester er

innforstått med beredskapsnivået og hvilke

praktiske følger dette får for dem

beredskapsnivå og sikringstiltak 31


Fysiske omgivelser

Hensikt: Vanskeliggjøre utførelsen av anslag

mot virksomhetens bygningsmasse og personell

Organisatoriske tiltak

Øke bruk av utvendig belysning

Der det er mulig flytte alle gjenstander som kan

brukes til å skjule sprenglegemer, for eksempel

søppeldunker og kasser, unna bygninger/lokaler

som er i bruk, eller sikre dem og plassere dem

på overvåkede steder

Sørge for at det er ryddig og oversiktlig rundt

virksomheten. Kutt ned vegetasjon om nødvendig

Intensiver bruken av elektronisk overvåking

Øke den visuelle kontrollen av parkerte kjøretøyer

i virksomhetens nærhet

Transport

Hensikt: Redusere sårbarheten til virksomhetens

kjøretøyer og sikre at de samme prinsipper for

forebyggende sikkerhet som gjelder for bygninger

/lokaler også gjelder for beskyttelsen av virksomhetens

kjøretøyer og deres passasjerer

Organisatoriske tiltak

Sikre at kjøretøyer ikke forlates ulåst, og at de

undersøkes før bruk. Det bør fastsettes tiltak

for å sikre virksomhetens kjøretøyer når de

er parkert, særlig på offentlig område

Sikre at passasjerer og bagasje undersøkes

Vokte virksomhetens kjøretøyer når de ikke

befinner seg i et beskyttet og kontrollert område

Undersøke kjøretøyer som har vært forlatt

ubevoktet før bruk

Sikre at rutinetransporter foregår til varierte tider,

særlig når det gjelder transport av passasjerer

Sikre at påstignings- og avstigningspunktene

i forbindelse med transporten varieres, og at

reiserutene varieres dersom dette er mulig

IKT

Hensikt: Beskytte vitale IKT-systemer mot angrep

Organisatoriske tiltak

Gjennomgå instruksverk og annen sikkerhetsdokumentasjon

knyttet til informasjonssystemene

Intensiver sikkerhetsoppdateringer av programvare

og sikkerhetsovervåkingen av systemene, logger,

brannmurkonfigurasjoner m.m.

Innføre kortere intervaller for skifte av passord

Etablere vaktordning med nøkkelpersonell for

å sikre drift av kritiske informasjonssystemer

Kontrollere at tilgang til informasjonssystemer

er mulig selv om nøkkelpersonell ikke er tilgjengelig,

herunder sikre tilgang til systemdokumentasjon

og passord for administratorer

Gjennomgå planer for alternativ lokalisering av

informasjonssystem(er)

Foreta hyppig fjernlagring av sikkerhetskopier

Vurdere bruk og oppbevaring av mobiltelefon og

andre bærbare elektroniske enheter. Om nødvendig

innskjerpe reglene for bruk av mobiltelefon og hvor

den kan medbringes

Øke bruken av tilgjengelige kryptoløsninger

Kontrollere at virksomheten har oppdatert oversikt

over eventuell gradert/sensitiv informasjon

og materiell, inkludert maskinlesbare lagringsmedia

Gjennomgå prosedyre for nødmakulering

Menneskelige tiltak

Sikre at sjåførene er orientert om terrortrusselen

og forstår hva de bør gjøre for å forebygge en

terroraksjon

32 beredskapsnivå og sikringstiltak


Personell

Hensikt: Vanskeliggjøre anslag mot personell

og redusere skade på liv og helse ved et

eventuelt anslag

Organisatoriske tiltak

Avlyse mindre viktige aktiviteter som kan øke

eksponeringen av ansatte eller lokalene

Sikre at ansatte varierer aktivitetsmønstre

for å unngå å framstå som et forutsigbart mål

Sikre at ansatte ikke samler seg i større grupper,

der dette er mulig

Redusere/unngå opphold i de delene av bygningen

/lokalet som etter en risikovurdering fremstår

som mer sårbare for anslag

Henvise de ansatte til et trygt område

eller evakuere dem

Gjennomføre øvelser og evakueringsdriller

Menneskelige tiltak

Sikre at de ansatte er kjent med beredskapsnivået

og de tiltak som er iverksatt

Iverksette informasjonstiltak for å sikre at alle

ansatte til enhver tid er orientert om trusselen

fra terrorisme og hvilke former trusselen kan ha

Alle ansatte skal med jevne mellomrom påminnes

om å være årvåkne med hensyn til ukjente personer,

kjøretøyer, etterlatte pakker og vesker, nettaktivitet

eller annen unormal aktivitet. Dette gjelder og

sosial manipulering , blant annet i forbindelse

med tilgang til ressurser på informasjonssystemer

og adgang til lokaler

Sikre at alle ansatte vet hva de skal gjøre dersom

det inntrer en hendelse, blant annet gjelder dette

kjennskap til alarmer, evakueringsordninger,

samlingspunkter og trygge områder

Ansatte som er ansvarlige for iverksetting av

tiltak mot en terrortrussel skal være tilgjengelige

Vakthold og inspeksjon

Hensikt: Å kunne oppdage mistenkelige gjenstander

som er etterlatt i lokalene. Redusere risikoen

for aksjoner gjennom utplassering av vakt- og

sikkerhetspersonell, både for å avskrekke og for

å oppdage inntrengere

Organisatoriske tiltak

Sikre at det fastsettes rutiner for å inspisere

bygningen/lokalet innvendig. Dette gjelder særlig

samlingspunkter for ansatte og lokaliteter med

kritiske funksjoner

Sikre at områder som ikke er i bruk undersøkes,

sikres og inspiseres med jevne mellomrom

Øke synligheten av inspeksjon og vakthold ute

og inne

Kommunikasjon

Hensikt: Sikre effektivt samarbeid med både interne

og eksterne samarbeidspartnere

Organisatoriske tiltak

Kontrollere rutinene for å motta og formidle

instruksjoner fra politi, vaktstyrke og sikkerhetstjenester

Kontrollere aktuelle interne og eksterne

varslingslister

Kontakte leverandører og samarbeidende virksomheter

for å bekrefte deres iverksettelse av tiltak

i henhold til avtale

Sikre at vakt- og sikkerhetspersonale er utstyrt

med alarm- og varslingssystemer slik at de kan

varsle omgående dersom et anslag synes å være

nært forestående

beredskapsnivå og sikringstiltak 33


Annen relevant litteratur

ASIS International (2008) Threat Advisory System

Response Guideline, Alexandria: ASIS International

Forsvarsdepartementet (2007) ot.prp.nr 21 (2007-

2008) Om lov om endring i lov 20. mars 1998 nr. 10

om forebyggende sikkerhetstjeneste (sikkerhetsloven),

Oslo: Forsvardepartementet

Justis- og politidepartementet (2000) ot.prp.nr. 29

(2000 – 2001) Om lov om endringer i politiloven

(overvåkingstjenestens oppgaver mv.). Oslo: Justisog

politidepartementet

Forsvarsbygg (2005) Sikringshåndboka - Håndbok

i sikring og beskyttelse av eiendom, bygg og anlegg mot

terrorhandlinger, spionasje, sabotasje og annen kriminalitet,

Oslo: Forsvarsbygg (unntatt offentlighet)

Idsø, Einar Skavland og Jakobsen, Øyvind Mejdell

(2000) Objekt og informasjonssikkerhet, - metode for

risiko- og sårbarhetsanalyse, Trondheim: Institutt for

produksjons- og kvalitetsteknikk, Norges teknisknaturvitenskaplige

universitet (NTNU)

Nasjonal sikkerhetsmyndighet (2006)

Veiledning i risiko- og sårbarhetsanalyse,

Kolsås: Nasjonal sikkerhetsmyndighet

Nasjonal sikkerhetsmyndighet (2009) Veiledning

i verdivurdering, Kolsås: Nasjonal sikkerhetsmyndighet

Norges offentlige utredninger (NOU) (2006)

Når sikkerheten er viktigst - beskyttelse av landets

kritiske infrastrukturer og kritiske samfunnsfunksjoner,

Oslo: Departementenes servicesenter

Politidirektoratet (2007) Politiets beredskapssystem

del I - Håndbok i krisehåndtering, Oslo: Politidirektoratet

Standard Norge (2008) Norsk standard 5814 -

Krav til risikoanalyser, Oslo: Standard Norge

Vinje, Finn-Erik (2006) Sikkerhet – Safety/Security –

En begrepsutredning, i NOU 2006:6 Når sikkerheten

er viktigst - beskyttelse av landets kritiske infrastrukturer

og kritiske samfunnsfunksjoner, Oslo: Departementenes

servicesenter.

Øksne, Anders og Furuseth, Helge Rager (2004)

Risikohåndtering, Trondheim: NTNU

34 anbefalt videre lesning


En veiledning for offentlige og private virksomheter

Tangram Design 169434 // Photo: Johnér/Tangram

More magazines by this user
Similar magazines