Side 44<strong>og</strong> – aktører ved at resultater av laboratorieundersøkelserdistribueres pr. datalinjer <strong>og</strong> ikke som brevpost.Det samme gjelder epikriser <strong>og</strong> røntgensvar. Lov omelektronisk pasientjournal (EPJ) vil regulere <strong>for</strong>holdrundt elektronisk overføring av pasientjournaler. Telemedisinskutvikling er <strong>og</strong>så relevant her siden denneer helt avhengig av linjeoverføring av bilder <strong>og</strong> data.Ved kriser som rammer vanlig trafikal kommunikasjonvil nettopp telemedisin kunne være en måte å driveavansert diagnostikk i utkanter som blir isolert slikat pasienter ikke kommer fram til sykehus. Større avhengighet,økende kompleksitet <strong>og</strong> alvorligere truslerfører til at <strong>og</strong>så sårbarheten er økende. Dette kreverstørre fokus på tiltak som kan avhjelpe <strong>og</strong> redusererisiko <strong>og</strong> sårbarhet.Truslene kan i hovedsak deles i to hovedkategorier:Utilsiktede hendelser, dvs teknisk svikt. F. eks. strømbrudd,nettverkskomponenter som stopper, diskhavari,osv.Tilsiktede hendelser, dvs handlinger med hensikt åødelegge eller stjele data eller å hindre normal brukav systemene. Eksempler på dette er virusangrep,hacking, mailbombing, osv.Undersøkelser viser at en stor del av hendelsene somfører til svikt i datasystemene, skyldes menneskeligefeil begått av egne ansatte. For eksempel at tekniskutstyr ikke vedlikeholdes slik det skal, endringer <strong>for</strong>etasuten å ha vært tilstrekkelig testet, eller at ansatteutleverer opplysninger som misbrukes, i verste fall ID<strong>og</strong> passord.For å redusere sannsynligheten <strong>for</strong> datasvikt er detder<strong>for</strong> viktig å drive stadig opplæring <strong>og</strong> bevisstgjøringav virksomhetens egne ansatte. Videre er det viktig ågjennomføre regelmessige risiko- <strong>og</strong> sårbarhetsanalyser,<strong>og</strong> spesielt når det <strong>for</strong>etas endringer i konfigurasjonen.Andre viktige tiltak er å gjøre IKT- systemene merrobuste bl.a. gjennom skjerming <strong>og</strong> redundans (backup),samt å sikre strøm<strong>for</strong>syning til servere osv (se pkt5.2.3.1). Stadig flere virksomheter benytter Internett,e-post <strong>og</strong> tilgang til websider <strong>for</strong> å utføre sine oppgaver.For å redusere sårbarhet i <strong>for</strong>hold til datasvikt børbedrifter som er avhengig av elektronisk datakommunikasjonvurdere om det er behov <strong>for</strong> tilkoblingspunkter(flere linjer), alternativ ruting av signalene eller åbenytte alternative typer elektronisk kommunikasjon.Det tilbys nå både faste <strong>og</strong> mobile ekom- tilkoblingersom kan utfylle hverandre, eksempelvis radiolinje <strong>og</strong>UMTS (3 generasjon mobiltelefoni).For å bedre <strong>beredskap</strong>en er det viktig å ha reserveløsninger<strong>og</strong> planer <strong>for</strong> hvordan disse skal tas ibruk. Det må tas regelmessig reservekopi (backup)av virksomhetens data, <strong>og</strong> det må være en plan <strong>for</strong>opp bevaring <strong>og</strong> gjenfinning av disse. For virksomhetskritiskesystemer bør det finnes planer <strong>for</strong> muligoppstart på reserveanlegg, ev. plassert annet sted (itilfelle brann), <strong>og</strong> det bør gjennomføres hyppige øvelser<strong>for</strong> hvordan alvorlige drifts<strong>for</strong>styrrelser håndteres slikat det får minst mulig konsekvenser <strong>for</strong> virksomheten.Virksomhetseiere med <strong>beredskap</strong>sansvar (samfunnskritiskefunksjoner) skal in<strong>for</strong>mere tilbyder om hvilke elektroniskekommunikasjonstjenester, som er nødvendig<strong>for</strong> å utøve disse funksjonene (Ekom<strong>for</strong>skriften § 8-1).Nr Tiltak Ansvar1 Forebyggende tiltak. Opplæring, ROS-analyser<strong>og</strong> <strong>beredskap</strong>splaner.2 Utarbeide/oppdatere planer <strong>for</strong> krisehåndtering <strong>og</strong>gjennomføre øvelser3 Tiltak <strong>for</strong> å redusere sårbarhet: Bruk avbrannmurer, anti-virus <strong>og</strong> andre beskyttelsespr<strong>og</strong>rammer,rutiner <strong>for</strong> oppgradering mm.4 Etablere rutiner <strong>for</strong> reservekopiering <strong>og</strong> planer<strong>for</strong> oppbevaring <strong>og</strong> gjenfinning avreservekopierVirksomhetseier(kommuner, helse<strong>for</strong>etak, tjenestetilbydereEKOM, nettselskaper, nødetater, bedrifter o.a)Virksomhetseier(kommuner, helse<strong>for</strong>etak, tjenestetilbydereEKOM, nettselskaper, nødetater, bedrifter o.a)Virksomhetseier(kommuner, helse<strong>for</strong>etak, tjenestetilbydereEKOM, nettselskaper, nødetater, bedrifter o.a)Virksomhetseier(kommuner, helse<strong>for</strong>etak, tjenestetilbydereEKOM, nødetater, bedrifter o.a)
d. TelefonisviktGenereltDet finnes i Norge i dag flere leverandører av samband.Mange av disse er avhengig av Telenors linje- <strong>og</strong> mobilnett.Noen teletilbydere har utviklet egne nett, som <strong>for</strong>eksempel Netcom. Unntakene er E-verkenes, <strong>for</strong>svarets<strong>og</strong> enkelte andre tilbyderes nett, men disse er <strong>for</strong> tidenikke tilknyttet sivil <strong>beredskap</strong> i fred. Også satellittelefoner<strong>og</strong> enkle radioanlegg kan operere uavhengig av Telenor,men har begrenset kapasitet. Beredskapsmessig er detsivile samfunn således relativt avhengig av Telenor. Telenorhar de siste årene bygget ut et svært omfattende <strong>og</strong>relativ godt sikkert nett i Norge, med mange alternativelinjer. En del hendelser den siste tiden tyder på at det <strong>for</strong>tsatter en del svakheter i systemet, <strong>og</strong> særlig ved enkeltesentrale knutepunkter. En del viktige abonnenter bør vurdereå skaffe ”reserveinntak”. Dette må virksomhetseierkoste selv. Det er viktig å understreke at samfunnskritiskefunksjoner bør benytte spredt ruting (automatisk linjevalgi telefoninettet) <strong>for</strong> å redusere sårbarheten. Virksomhetermed samfunnskritisk funksjon har et ansvar <strong>for</strong> å underrettesin tilbyder om at de er samfunnskritiske. Riksdekkendekringkasting har samfunnspålagt krav om distribusjonav meldinger fra statsmyndighet til befolkningenved kriser <strong>og</strong> katastrofer. Det synes påregnelig at vanligeabonnenter vil få noen timers brudd i telefonsambandeten gang i blant. Sannsynligheten <strong>for</strong> at prioriterte abonnenterskal være uten telefonsamband i mer enn 8 timerer liten, <strong>og</strong> antas å inntre sjeldnere enn hvert 50. år.For å redusere sannsynligheten <strong>for</strong> brudd i telefonsambandvil Telenor <strong>for</strong>tsette å sikre <strong>og</strong> bygge ut sittnett i samsvar med sentrale retningslinjer. I tillegg børdet vurderes å bringe E-verkenes nett <strong>og</strong> Forsvaretssamband sterkere inn i sivilt <strong>beredskap</strong> i fredstid.Andre nye aktører på dette området er lite sannsynligp.g.a. store omkostninger ved utbygging av nett.For å bedre <strong>beredskap</strong>en mot brudd i telesambandeter det i samfunnets interesse at Telenor <strong>for</strong>tsattopprettholder <strong>og</strong> <strong>for</strong>bedrer sitt <strong>beredskap</strong>sopplegg.Offentlige <strong>og</strong> private institusjoner må selv vurdere behovet<strong>for</strong> alternative kabelløsninger utover standardløsninger, mellom Telenors installasjoner <strong>og</strong> egnelokaler. Det samme gjelder behovet <strong>for</strong> knytningmot alternative sentraler i Telenors nett. Telenor kanetter bestilling etablere alternative løsninger. Deter Sikkerhets- <strong>og</strong> <strong>beredskap</strong>sseksjonen hos Post- <strong>og</strong>Teletilsynet som samordner telesikkerhet <strong>og</strong> <strong>beredskap</strong>.Tilsynet ser til at telebransjens markedsaktørerstøtter hverandre i en eventuell <strong>beredskap</strong>ssituasjon.Post- <strong>og</strong> Teletilsynet arrangerer samøvelser med aktørene(Se www.npt.no ). For nødsamband synes dethensiktsmessig at politiet tar et initiativ til samøvelsermed andre redningsaktører.Side 45Nr Tiltak Ansvar1 Sikre kritiske knutepunkt Telenor2 Sikre/dublere inntak fra telefonsentral. Netteier3 Utvikle alternative tilknytningsløsninger motTelenors nett.4 Ta initiativ til sambandsøvelse med andreRedningsaktørerNetteierPolitiet