Sikkerhetnr4web

More documents

Recommendations

Info

Sikkerhetskonferansen 2011 Dyr spionasje Sikkerhet koster penger, men spørsmålet er om vi har råd til å ikke beskytte oss. Av: Ronald Barø, Politiets sikkerhetstjeneste Det kan være fristende å gjøre karakteren C til en A i håp om å klarte litt høyere i søknadsbunken. Foto: Karoline K. Åbyholm/NSO «Vi vil aldri kunne avdekke alle mulige forsøk på juks.» Tone Rognstad viktig i rekrutteringsprosessen, enten vi sitter i Harstad eller i Houston. Våre globale retningslinjer inneholder både anbefalinger og ufravikelige krav, det som på engelsk kalles non-negotiables. Ufravikelig er for eksempel kravet om at vi skal forsikre oss om identiteten og den faglige kompetansen til hver enkelt person som ansettes i selskapet. Vi vil aldri kunne avdekke alle mulige forsøk på juks. Men vi må i alle fall gjøre det vi kan for å oppdage uregelmessigheter. Og vi må være enige om hva som er de viktige spørsmålene. Ulovlig etterretningsvirksomhet er enhver aktivitet med sikte på å skaffe informasjon om politiske, militære, teknologiske eller andre viktige samfunnsmessige forhold og som kan være til skade for landets sikkerhet, interesser og selvstendighet. Som ulovlig etterretningsvirksomhet regnes også industrispionasje utført av en annen stat ved hjelp av denne statens etterretningstjenester. Industrispionasje som foregår mellom konkurrerende firmaer og bedrifter med kommersielle målsettinger, er en oppgave for det ordinære politi. Grensegangen her kan imidlertid være uklar. Ofte vil ikke aktørens tilhørighet være kjent, og om den ulovlige etterretningen da er et ansvar for Politiets sikkerhetstjeneste (PST) eller politiet vil være vanskelig å fastslå. Høy aktivitet Etterretningsaktiviteten mot norske interesser er høy. Veldig mange norske virksomheter utsettes for ulovlig etterretning daglig, og de potensielle tapene kan være store. Denne type kriminalitet anmeldes sjeldent. Ettersom ulovlig etterretning foregår fordekt, er mange virksomheter sannsynligvis utsatt for denne type kriminalitet uten å vite om det. De fleste stater har en etterretningstjeneste. I mange land er næringslivsspionasje et statlig anliggende, og nasjonalstaten bruker sine ressurser på å skaffe seg informasjon som er formålstjenelig for eget lands næringsliv. Flere staters etterretningstjenester er aktive i Norge, og disse etterretningstjenestene rår over store ressurser og et bredt spekter av metoder. Ronald Barø jobber til daglig i Politiets sikkerhetstjeneste som sikkerhetsrådgiver. I tillegg til jobben som sikkerhetsrådgiver er han i ferd med å fullføre en mastergrad i Security and Risk Management ved University of Leicester i England. Fra tidligere har han har lang og variert operativ bakgrunn fra forsvaret, både nasjonalt og internasjonalt. Ronald har også jobbet i Det Norske Veritas, både som organisasjonsutvikler og som forsker innenfor fagfeltet security. Varierende metoder Etterretningsmetodene som blir brukt varierer, og noen er svært avanserte. Flere staters etterretningstjenester har avlyttingskapasitet i Norge. Datanettverksoperasjoner har blitt brukt i forsøk på å skaffe skjermingsverdig informasjon fra norske offentlige og private aktører. Den ulovlige etterretningsvirksomheten er særlig rettet mot norsk forsvars- og sikkerhetspolitikk, olje- og gassektoren, forskningsinstitusjoner samt høyteknologivirksomheter. 14 SIKKERHET nr. 4 • 2011 www.nsr-org.no
Sikkerhetskonferansen 2011 Mye av informasjonsinnsamlingen foregår ved hjelp av IKT, men også metoder som sosial manipulering, bruk av åpne kilder, avlytting, rekruttering av ansatte, eller bevisst plassering av medarbeidere i virksomheter er aktuelle metoder. Viktig å være proaktive «Mange virksomheter sannsynligvis utsatt for denne type kriminalitet uten å vite om det.» Ronald Barø Det er viktig at norske virksomheter er proaktive i møte med utfordringer som følger med ny teknologi. Mange virksomheter utstyrer de ansatte med ulike kommunikasjonsplattformer som smartphones og nettbrett, og skillet mellom teknologi for jobbog privat bruk viskes ut. Dette stiller større krav til både arbeidsgivere og arbeidstakere med tanke på sikkerhet. En virksomhets behov for informasjonssikring kan lett komme i konflikt med fritidsbruk av utlevert IKT-utstyr. For aktører som bedriver ulovlig etterretning er dette en gunstig situasjon. Kartlegging av ansattes privatliv og virksomhetens informasjonssystemer gir en aktør med ondsinnede hensikter mange muligheter, og øker virksomheters sårbarheter. Det er viktig at virksomheter har et bevisst forhold til denne problemstillingen. Informasjon har blitt mye lettere tilgjengelig og flyttbart i store mengder enn for bare få år siden. Få arbeidsgivere reagerer på at ansatte tar med seg et elektronisk lagringsmedium inn og ut av arbeidsplassen, men alle arbeidsgivere vil reagere dersom en ansatt tar med seg en pall med dokumenter ut fra virksomheten. Sikringstiltak Innenfor «security» er trenden å legge stor vekt på teknologiske sikringstiltak. De fleste sikkerhetssystemer er utviklet for å hindre at ikkeautoriserte personer får tilgang til våre verdier, men svært ofte er disse systemene konstruert for å hindre ekstern tilgang på våre systemer. Som i «safety», krever alle systemer at menneskene som er satt til å forvalte dem faktisk følger gjeldende prosedyrer. For å motivere ansatte til å følge disse reglene er det viktig at de ansatte forstår hvorfor disse retningslinjene og prosedyrene er viktige, og de potensielle konsekvensene sikkerhetsbrudd kan ha. Sosial manipulering I etterretningsverdenen brukes sosial manipulering for å innhente informasjon under en tilsynelatende normal og uskyldig samtale. De som er satt til å innhente informasjon, er godt trent til å dra nytte av faglige eller sosiale sammenhenger for å komme i kontakt med personer som har tilgang til gradert eller annen skjermingsverdig informasjon. Slike møter vil oppleves som en normal sosial eller faglig samtale og kan ta plass hvor som helst. Men det er en samtale med en intensjon om å samle informasjon om arbeidet ditt, eller for å samle informasjon om deg eller dine kolleger. For utenlandske etterretningsorganisasjoner, er bruk av sosial manipulering en teknikk som medfører lav risiko for innhenteren. Etterretningsvirksomhet Etterretningsvirksomhet er målrettet og styrt innsamling og analyse av informasjon som innsamleren anser som relevante for å dekke sitt informasjonsbehov. Etterretningsvirksomhet er i utgangspunktet lovlig så lenge den består i å hente informasjon fra åpent tilgjengelige kilder; internett, media, offentlig tilgjengelige dokumenter, arkiver og lignende. Denne teknikken fungerer godt, og gjennom slik innsamling av informasjon kan gjerningsmannen samle, bekrefte eller utvide sin kunnskap om et sensitivt prosjekt eller annen beskyttelsesverdig aktivitet. Videre kan gjerningsmannen få bedre innsikt i en persons potensial eller mottakelighet for rekruttering eller søke å påvirke beslutningsprosesser i en virksomhet. Sikkerhetstrategi For å beskytte seg mot ulovlig etterretning er det viktig at virksomheter etablerer en helhetlig sikkerhetsstrategi som adresserer både teknologisk, organisatorisk og menneskelige sikkerhetstiltak, og ikke minst hvordan disse tre dimensjonene underbygger hverandre. Sikkerhet koster penger, men spørsmålet er om vi har råd til å ikke beskytte oss. Det er det bare den enkelte virksomhet som kan svare på, og da etter en god verdibasert risikoanalyse. www.nsr-org.no SIKKERHET nr. 4 • 2011 15
Page 1 and 2: F 4 2011 Næringslivets sikkerhetso
Page 3 and 4: Innhold Nr 4 • 2011 • Årgang 5
Page 5 and 6: BEREDT? Farlig støy Årlig får Ar
Page 7 and 8: Smånytt - Bedrifter kan droppe kod
Page 9 and 10: Sikkerhetskonferansen 2011 «Andre
Page 11 and 12: Sikkerhetskonferansen 2011 Ullen tr
Page 13: Sikkerhetskonferansen 2011 Rekrutte
Page 17 and 18: Sikkerhetskonferansen 2011 «Rundt
Page 19 and 20: Beredskapsforskriften Risikovurderi
Page 21 and 22: Beredskapsforskriften Økt sikkerhe
Page 23 and 24: Beredskap «Økonomien ved Rana Gru
Page 25 and 26: Spørrespalten Om industrivern Juri
Page 27 and 28: i NSO-fokus Positive innsatsledere
Page 29 and 30: Sivilforsvaret Sivilforsvaret 75 å
Page 31 and 32: Aktivitetskalender NSO Påmelding t

Sikkerhetnr4web

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?