Sikkerhet nr 3 2017

010001010011100100001000000011001000011101010001000000
011100110011010010011010110011010110011001010011100100
Sikkerhet
001111110010001010011100100001000000011001000011101010
001000000011100110011010010011010110011010110011001010
011100100001111110010001010011100100001000000011001000
011101010001000000011100110011010010011010110011010110
011001010011100100001111110010001010011100100001000000
011001000011101010001000000011100110011010010011010110
Fagblad om industrivern, trygghet og sikring
011010110011001010011100100001111110010001010011100100
001000000011001000011101010001000000011100110011010010
Nr. 3 • 2017
011010110011010110011001010011100100001111110010001010
011100100001000000011001000011101010001000000011100110
011010010011010110011010110011001010011100100001111110
010001010011100100001000000011001000011101010001000000
011100110011010010011010110011010110011001010011100100
001111110010001010011100100001000000011001000011101010
001000000011100110011010010011010110011010110011001010
011100100001111110010001010011100100001000000011001000
011101010001000000011100110011010010011010110011010110
011001010011100100001111110010001010011100100001000000
011001000011101010001000000011100110011010010011010110
011010110011001010011100100001111110010001010011100100
001000000011001000011101010001000000011100110011010010
011010110011010110011001010011100100001111110010001010
Er du sikker?
011100100001000000011001000011101010001000000011100110
011010010011010110011010110011001010011100100001111110
010001010011100100001000000011001000011101010001000000
011100110011010010011010110011010110011001010011100100
001111110010001010011100100001000000011001000011101010
001000000011100110011010010011010110011010110011001010
011100100001111110010001010011100100001000000011001000
011101010001000000011100110011010010011010110011010110
011001010011100100001111110010001010011100100001000000
011001000011101010001000000011100110011010010011010110
011010110011001010011100100001111110010001010011100100
001000000011001000011101010001000000011100110011010010
011010110011010110011001010011100100001111110010001010
011100100001000000011001000011101010001000000011100110
011010010011010110011010110011001010011100100001111110
010001010011100100001000000011001000011101010001000000
011100110011010010011010110011010110011001010011100100
001111110010001010011100100001000000011001000011101010
001000000011100110011010010011010110011010110011001010
011100100001111110010001010011100100001000000011001000
011101010001000000011100110011010010011010110011010110
011001010011100100001111110010001010011100100001000000

Nettstedet Regelhjelp.no drives av Arbeidstilsynet, Direktoratet for samfunnssikkerhet og beredskap (DSB), Klima- og forurensningsdirektoratet
(Klif), Næringslivets sikkerhetsorganisasjon (NSO), Helsedirektoratet, Nærings- og handelsdepartementet (NHD) og
Statens strålevern.
Finn ut hva som kreves av din virksomhet
Bedrift AS
Fyll inn navn eller organisasjonsnummer for din
virksomhet, så viser vi deg hvilke krav som gjelder for
bransjen
FINN KRAV
Vet du hvilken bransje
du tilhører?
Gå direkte til
bransjeoversikten
Kravene til din bransje
Enkelt og oversiktlig
Det kan være en utfordring å holde seg orientert om alle krav og
regler innenfor helse, sikkerhet og miljø. På regelhjelp.no er disse
reglene presentert enkelt og oversiktlig for 58 bransjer.
Skriv inn bedriftsnavn eller organisasjonsnummer, klikk – og du
får opp kravene som gjelder for din bransje. Du kan også bla i
bransjelisten og velge den bransjen du er interessert i.
Også nyhetstjenesten på regelhjelp.no er bransjespesifikk. Ved å
abonnere på nyheter, holder du deg oppdatert om nytt regelverk
og endringer for din bransje.
Nyhetsoppdateringene blir sendt gratis via e-post til abonnentene.
Regelhjelp.no viser vei til regelverk for helse, sikkerhet, miljø og
internkontroll innen: arbeidsmiljø, brann- og eksplosjonsvern,
el-sikkerhet, industrivern, forurensning, servering,
produkter og forbrukertjenester og miljørettet helsevern.
Hvilke krav stiller regelverket til
arbeidslokalene våre?
Hvordan ivaretar vi brannsikkerheten?
Kravene mye Hvor farlig til avfall din kan vårt
bransje
oppbevare før vi må varsle myndighetene?
Hvordan Hvilke krav unngår stiller vi at regelverket kundene våre til arbeids får -
helseskadelig mat?
lokalene våre?
Hvordan gjennomfører ivaretar vi brannsikkerheten?
vi en risikoanalyse?
Hva Hvor innebærer mye farlig informasjonsplikten avfall kan firmae vårt for oppbevare
før vi må varsle myndighetene?
forbrukerproduktet?
Trenger vi serveringsbevilling for å tilby
gratis Hvordan mat på gjennomfører et utendørs vi arrangement?
en risikoanalyse?
Hva innebærer informasjonsplikten for
Må bedriften vår ha industrivern?
forbrukerproduktet?
Hvor omfattende skal HMS-arbeidet være?
Trenger vi serveringsbevilling for å tilby
gratis mat på et utendørs arrangement?
Må bedriften vår ha industrivern?
Hvor omfattende skal HMS-arbeidet være?
I oversikten over temaene er det gjort en prioritering mellom viktige
og andre krav.
Nettstedet henvender seg spesielt til daglig leder, HMS-ansvarlig,
industrivernleder og verneombud i små og mellomstore virksomheter.
nettstedet regelhjelp.no

eportasjebildet
DATA OG PROPELLER: Brunvoll AS lager thrustersystemer, som sørger for styring, framdrift og manøvrering av avanserte skip. De produserer hele
systemet; fra databrikker til store propeller. Før de leverer fra seg et produkt må selv den minste elektronikk-bit være i orden. Foto: Andreas Winter
Førstehjelpskurs: Det er tiden til de ansatte som koster..
Hva foretrekker dere
• Et livreddende førstehjelpskurs med en varighet av 3-4
timer der deltakerne blir vurdert av en instruktør, og får
et diplom ut i fra instruktørens vurdering.
• Et kurs som tar 5-15 minutter der deltakerne får tilbakemelding
fra ”pasienten” øvelsesdukken på utførsel av
øvelsene. Når deltakeren har tilfredsstillende resultat,
og selv er fornøyd får de et diplom for korrekt utført
livreddende førstehjelp.
Testsenter
livreddende førstehjelp
En ny metode å trene livreddende ferdigheter på. Basert
på forskningsresultater. Opplæringen sikrer høy ytelse
hver gang, der utøveren får direkte muntlig veiledning av
livredningsdukken. Med Hjertevakten® sin teststasjon,
sparer du tid, penger, og får et ferdighetsbevis og bidrar til å
redde flere liv.
”Litt hardere. Bra. Ikke
så raskt. Veldig bra”.
Ei kvinnerøyst kjem
heile tida med korrigeringar
og vegleiing medan
Magnhild Varanes gjev
30 brystkompresjonar
og følgjer opp med to
innblåsingar.
Slik fungerer det
Kundens
ansvarshavende
HR
HR
- Sender inn liste over deltakerne.
- Får en oversikt over hvem som
har tatt kurset, og resultatet av
gjennomføringen.
Testsenter
Resultatene
registreres
fortløpende
Priser:
• Oppstartkostnader kr 3.000,-
• Per deltaker hjertelungeredning kr. 500,-
• Per deltaker hjertelungeredning + Bruk av
hjertestarter kr. 550,-
Administrasjonen hos
Hjertevakten
På testsenteret kan en velge om en vil gå
direkte på testen, eller se instruksjonsvideo
og øve først.
Øvelsen kan gjentas helt til en er fornøyd.
Kursdeltakeren
Deltakerne
- Får en innbydelse til kurset.
- Når de kommer tilbake til
arbeidsplassen etter å ha
klart kurset,
har de fått et ferdighetsbevis
tilsendt på e-post.
Tetstsenteret
Utplasseres hos dere i en avtalt periode, slik at
kursdeltakerene kan benytte seg av den 24 timer i
døgnet, i en ledig stund
www.hjertevakten.com - hlr.post@hjertevakten.no - + 47 53 48 20 50

Seig døgnflue
I Dagens Næringsliv tirsdag 20. august 1996 kunne
man lese overskriften: «Internett en flopp!». Der
mente skribenten at «internett er en motegreie som
kommer til å dø ut om et par år».
Det er lett å trekke på smilebåndet av slike uttalelser
i dag, for den kunne ikke vært lenger unna
sannheten nå, over 20 år senere. I dagens samfunn er
det omtrent umulig å ikke legge igjen digitale fotavtrykk.
Enten ved bruk av en smarttelefon, bankkort
eller en bombrikke i bilen.
Samfunnet og næringslivet er i dag avhengige av
internett og en digital hverdag. De fleste industrivernpliktige
virksomheter har produksjon som er
avhengig av samlebånd, automatikk, datamaskiner
og nettilgang. Digitaliseringen er med på å gjøre
mange tunge arbeidsoppgaver i industrien tryggere,
raskere og enklere.
Tidligere var industri vernet rettet mot villede
handlinger. Norsk Industriforbund etablerte i 1938
forløperen til NSO for å sikre industrien mot krig,
altså mot villede
«Digitalisering er
så mye mer enn
roboter og kunstig
intelligens.»
handlinger som
kunne såre virksomheten.
Etter
andre verdens krig
rettet industrivernet
seg mer og
mer mot ulykker
og hendelser. Nå er tendensen at virksomheter igjen
bør tenke mer på de villede handlingene – at noen vil
deg og din arbeidsplass vondt.
«Men er dette aktuelt for oss? Vi utfører mesteparten
av arbeidet manuelt, og har ikke roboter eller
flyvende droner som gjør jobben for oss», vil noen
kanskje si.
Men digitalisering er så mye mer enn roboter,
droner og kunstig intelligens. Bare forestill deg at
virksomheten din er uten nettilgang i en ukes tid.
Hvordan vil det påvirke produksjonen deres? Vil
det gå ut over kontakten med kunder, leverandører
og distribusjonen av produktene deres? Det å miste
nettet, bli hacket eller miste viktig informasjon kan
slå virksomheten, produksjonen og omdømmet deres
minst like langt tilbake som en alvorlig arbeidsulykke
eller brann.
I denne utgaven av Sikkerhet har vi viet mesteparten
av plassen til hvordan du kan sikre virksomheten
best mulig mot digitale farer og trusler. Det skal ikke
alltid så mye til, men det å ha en bevisst
holdning til hvordan man opptrer på
nett er viktig.
Ved å utføre godt nettvett kan du
være med på å sikre virksomheten
din.
Foto: Andreas Winter
20 Kommentaren
22 Følg reglene – unngå trøbbel
26 Ofte stilte spørsmål: Hacking
32 Firedoblet antall registrerte avvik
33 Våre beste tips
34 Nasjonal sikkerhetsmåned i oktober
38 NSR leder: Følger du med i timen?
39 Valgte åpenhet etter dataangrep
40 Kripos: Dataangrep kan ramme alle
46 Sikring inn i HMS-regelverket
48 Vart du skræmt no?
49 Huskelisten
Forsiden: Alle tegn du ser på en dataskjerm er bygget opp
av binær kode, det vil si 0 og 1 i sekvenser på 8. På forsiden
står «Er du sikker?» i binær kode: E = 01000101, r = 01110010,
mellomrom = 00100000, d = 01100100, u = 01110101
Sikkerhet
Nr 3 • 2017 • Årgang 63
ISSN 0805-6080
Utgis av Næringslivets
sikkerhets organisasjon (NSO)
og Nærings livets Sikkerhets råd
(NSR)
Abonnement: Kr. 350 pr år for
andre enn virksomheter tilknyttet
NSO og NSR.
Godkjent Opplag: 4.423,
fire utgaver per år.
4
Sikkerhet nr. 3 • 2017

tema: digitalisering
Beskytt bedriften
Ved å følge sikkerhetsekspertenes råd
kan bedrifter unngå store kostnader.
28
6 Hendelser
50 Revidering av forskrift
om industri vern
54 Industrivernleder tatt
på senga
Askøybedrifter
idemyldrer
Hedersdiplom
55 – Ikke undervurder
verdien av trening
56 Systematisk ledelse av
slukkeinnsatser
57 – NSO bør ha meir
operative tilsyn
58 NSOs kurskalender
59 Neste nummer
Satser på interne krefter
Brunvoll AS er klare på hvorfor de har
lyktes med den digitale hverdagen:
– Alle kan kjøpe teknologi, men det
er den interne kompetansen som er
avgjørende.
1010 10
Store og kostbare angrep
Dataangrep koster verden flere billioner
kroner hvert år, og kan få store
konsekvenser for mange. Les om de
største angrepene de siste årene.
35
– Vi må kunne
gjøre alt uten IKT
Kongsberg teknologipark gjør det de
kan for å eliminere muligheten for
menneskelige sikkerhetsfeil.
42
Minikurs på
konferansen
På årets industrivernkonferanse
kan deltakerne ta mini-kurs i
øvelsesplanlegging og beredskapsanalyse.
52
Kontakt:
Postboks 349, 1326 Lysaker
tlf: 90 100 333
epost: sikkerhet@nso.no
www.nso.no
Redaktør:
Karoline K. Åbyholm
karoline.abyholm@nso.no
Bladbunad og annonser:
Altern kommunikasjon,
Ingeborg Altern
kom@altern.no
Trykk: Merkur Grafisk AS
«Sikkerhet» innestår ikke for det faglige innhold
i signerte artikler og ikke for kvaliteten
på omtalte produkter.
©NSO2017 Føresegnene i åndsverklova
gjeld for materialet i Sikkerhet. Utan særskild
avtale med NSO er all eksemplarframstilling
og tilgjengliggjering berre tillate så
langt det har heimel i lov eller avtale med
Kopinor, interesseorganisasjonen for rettshavarar
til åndsverk.
Sikkerhet er som medlem av Fagpressen
forpliktet på Redaktør-plakaten og Vær
Varsom-plakatens regler for god presseskikk.
Pressens Faglige utvalg (PFU) er et
klageorgan oppnevnt av Norsk Presseforbund
som behandler klager mot mediene i
presseetiske spørsmål.
Sikkerhet nr. 3 • 2017 5

hendelser
Todalen
Høyanger
Stord
Brum undda
Begna
Kårstø
EVAKUERTE ALLE: Alle de ansatte ved Tine i Brumunddal ble evakuert etter at det ble varmgang i et filter.
Slukket raskt ulmebrann
Mandag 8. mai var det varmgang i et
filter hos Tine SA Avd. Brumunddal,
noe som førte til røykutvikling og full
evakuering.
– Dette skjedde i forbindelse med
oppstart av ei pulvertørke. Det var en
vifte som ikke startet og temperaturen
ble så høy at det begynte å ulme i luftfiltrene,
sier industri vern leder Anette
Mostuen Wiken.
Røyken ble detektert av brannvarslings
anlegget, og innsats leder og
resten av tilgjengelig industri vern var
raskt på plass.
– Alle de ansatte ble evakuert.
Rommet hvor røyken oppstod ble
undersøkt, og røykdykkere i Tines
industri vern ble tilkalt samtidig som
vi varslet brannvesenet. Brannvesenet
kom raskt til oss, og gikk inn sammen
med våre røykdykkere, sier Wiken.
Ulmebrannen ble raskt slukket, og
Foto: Gaute Freng/Ringsaker Blad
de ansatte fikk gå tilbake til arbeidsplassene
sine igjen.
– I etterkant ble hendelsen evaluert,
og vi mener alt i forbindelse med
industri vern og innsatsledelse gikk
helt problemfritt og i henhold til våre
rutiner. Produksjon på den aktuelle
tørka var i gang igjen i løpet av kvelden
samme dag, sier Wiken.
• NSO
Brann på trevarebedrift i Lyngdal
Brannvesenet rykket tirsdag 2. mai kl.
20:20 ut til brann på Alloc AS i Lyngdal.
Det melder Fædrelandsvennen.
Alloc produserer finérplater og andre
bygnings- og møbelplater.
Ifølge avisen meldte 110 Agder at
det brant i en flissilo.
– Det har vært en ulmebrann i en
frittstående silo som inneholder flis.
Det er ikke åpne flammer, og ikke
fare for personskader. Brannvesenet
jobber med å begrense spredningen
av brannen, opplyste politiets operasjonsleder
klokken 21.00.
Utrykningsleder i brannvesenet
Sør-Lyngdal, Tallak Flaten, opplyser
til Fædrelandsvennen at da brannvesenet
forlot stedet, overlot de til
industri vernet på Alloc å sørge for at
brannen ikke blusset opp igjen.
• NSO
6
Sikkerhet nr. 3 • 2017

Steinkjer
l
Skumla tank etter røykutvikling
Industrivernet ved
Talgø MøreTre har
allerede implementert
flere forbedringspunkter.
Tirsdag 30. mai fikk Surnadal
brannvesen melding om røykutvikling
hos Talgø MøreTre AS.
– Ledelsen fikk beskjed fra en avdelingsformann
kl. 8 om at det kvelden
før hadde blitt overfylling av en
tank med linolje. En del oppvarmet
linolje rant ned fra toppen av lagertanken
og inn i den øverste delen av
isolasjonsmateriellet som beskytter
selve beholderen, sier industri vernleder
Reinhard Wichmann.
Samarbeidet med brannvesenet
Han forteller at avdelingsformannen
og daglig leder ble enige om at formannen
skulle observere situasjon en
og rapportere om uønskede hendelser
i denne sammenheng.
– Kl. 11:27 ringte formannen til
daglig leder og meldte om uvanlig lukt
og damp rundt lagertanken. Daglig
leder vurderte situasjonen og varslet
Surnadal brannvesen for å innhente
eksperthjelp, sier Wichmann.
Fire ansatte ved TalgøMøre Tre er
medlemmer i Surnadal brann vesen og
var med under utrykningen. Industrivernmannskapet
jobbet med å rydde
rundt den aktuelle avdelingen slik
at innsatsbilene hadde mulighet til å
komme frem. Industrivernet møtte
brannvesenet i porten og koblet på
virksomhetens brann vernutstyr for å
være på den sikre siden.
– Brannvesen med innsats leder
var på plass kl. 11:35 og bestemte at
området rundt lagertanken skulle bli
skumlagt. En del isolasjonsmateriell
rundt tanken ble fjernet og vannet,
sier industri vern lederen.
Kl. 12:00 ble det vurdert at situasjon
en var under kontroll.
Har startet tiltak
I etterkant av hendelsen hadde virksomheten
en evaluering av sin egen
innsats under hendelsen.
– Under evalueringen med
industri vernmannskapet ble det en
del kontroversielle diskusjoner angående
våre varslingsrutiner. Konklusjonen
var at det finnes et forbedringspotensial,
sier Wichmann.
Som et generelt forbedringspunkt
ble det trukket frem at treningen med
innsatsgruppene er statisk: At de lager
rutiner og trener på dem. Det ble
hevdet at mannskapene ikke alltid er
«fleksible nok» hvis «usannsynlige»
hendelser oppstår.
– Her er det uten tvil mitt eget ansvar
å sørge for at treningen skal bli
mer varierende enn det har vært så
langt. For å implantere dette i alle ledd
skal vi ha en gjennomgang om dette
på neste arbeidsmiljøutvalgmøte.
Noen av de konkrete tiltakene som
er etablert så langt er at ledelsen på
Talgø MøreTre har opprettet en prosedyre
for avdelingen hvor hendelsen
skjedde som definerer maksgrenser
for påfylling av lagertanker. I tillegg
er det planlagt nye utvidede treningsøkter
for innsatsgruppene og i dialog
med ledelsen skal varslingsrutinene
også bli vurdert og muligens revidert.
– Positivt med kritikk
Wichmann setter stor pris på kritikken,
og ønsker å ta med seg læringspunktene
i det videre arbeidet med
industri vernet.
– Jeg oppfatter det som bare positivt
at mine kolleger er kritiske overfor
den nåværende organiseringen, og at
de kommer med konstruktive innspill
slik at vi kan bli bedre. Å jobbe med
voksne folk som er villige til å ta ansvar
for og viser interesse for å prioritere
sikkerheten på sin arbeidsplass,
gjør det mye enklere å oppnå våre
HMS-mål, sier Wichmann. NSO
Hjullaster kjørte på truck
Tirsdag 6. juni fikk politiet i Innlandet
melding om et arbeidsuhell ved Begna
Bruk AS i Oppland. Uhellet skal ha
skjedd i forbindelse med lasting, da
en hjullaster kjørte på en truck, melder
Oppland Arbeiderblad (OA).
Brann og ambulanse
– Føreren (av trucken, red.anm.) var
oppegående, men klaget over noe
bryst- og hodesmerter. Brannvesenet
kom raskt til stedet og tok hånd om
vedkommende til ambulanse kom på
plass, opplyses det ved operasjonssentralen
i Innlandet politidistrikt,
skriver OA.
Industrivern leder Ole Slettebråten
sier til Sikkerhet at den skadde pådro
seg et ribbensbrudd og nå er tilbake
i jobb.
– Innsatsleder, en fra redningsstab
og andre ansatte tok seg av den
skadde og sjåføren på hjullasteren til
nødetatene var på plass, sier Slettebråten.
Vil redusere faren
Han forteller at virksomheten i ettertid
har prøvd å finne årsaken til hvorfor
ulykken skjedde.
– I etterkant hadde vi befaring på
stedet for å finne ut hvordan dette
kunne skje, og vi har sett på tiltak for
å redusere faren for nye lignende hendelser.
Det er blant annet satt varsellamper
på alle interne kjøretøy, og
presisert overfor sjåfører om at disse
lampene skal være på. Vi fikk se at det
er viktig at alle ansatte vet hva som
skal gjøres når et uhell oppstår, både
når det gjelder varsling og innsats, sier
han.
• NSO
Sikkerhet nr. 3 • 2017 7

hendelser
LØPENDE KONTAKT: Både industrivernet og brannvesenet ble varslet under et branntilløp hos Inntre. Brannvesenet var raskt på stedet, og
gikk inn med sine røykdykkere. Innsatsleder i industrivernet hadde løpende kontakt med innsatsleder i brannvesenet. Foto: Leif Arne Holme
Branntilløp hos Inntre
Det begynte å brenne i en kompressor
hos Inntre AS Avd. Steinkjer mandag
22. mai.
– Vi hadde et branntilløp i en
kompressor på et av våre høvlerier.
Branntilløpet ble forsøkt slukket med
brannslukningsapparat av de som
jobbet på stedet, men de ga fort opp
da det ble for mye røyk i rommet, sier
industri vern leder Rune Ulvin.
Rask slukking
Både industri vernet og brannvesenet
ble varslet. Ulvin forteller at brannvesenet
var meget raskt på stedet, og
gikk inn med sine røykdykkere. Brannen
ble raskt slukket, og vifter for å
blåse ut røyk ble startet.
– Vår rolle i industri vernet ble
under denne hendelsen primært støtte
til brannvesenet. Vår innsats leder
hadde løpende kontakt med innsatsleder
brann. Vi dirigerte brann og
ambulanse til riktig sted da vi har et
stort område å finne frem på, sier han.
Godt samarbeid
Industrivernet bistod også brannvesenet
med en kjentmann.
– Både innsats lederen vår og kjentmannen
bistod brannvesenet. Jeg
kjenner ikke til alt som ble diskutert
mellom industri vernet og brannvesen
et, men jeg regner med mye dreide
seg rundt strømforsyning til kompressoren,
og hvilke porter og dører
som kan åpnes for effektiv utluftning
av røyk. Ingen av våre industri vernere
var med inn under selve slukkingen,
men ble med brannvesenet inn etter
at brannen var slukket for å inspisere
ulykkesstedet, sier Ulvin. NSO
8
Sikkerhet nr. 3 • 2017

TRAUMEDAG
Klepp 31.oktober 2017- kl. 0830 -1500
Røykutvikling i kraftstasjon
Industrivernet bisto under en aksjon i en av Statkrafts
stasjoner i Høyanger torsdag 22. juni. Det var varslet
røykutvikling/brann i Eringsdalen kraftstasjon, som
ligger rundt 5 km fra Hydro aluminium AS Høyanger
aluminiumsverk sin brann stasjon.
– Vi har et nært samarbeid med Statkraft som har
en kraftstasjon inne på vårt område. Hydros industrivern
har en avtale med kommunen om at vi fungerer
som lokalt brann vern for Høyanger kommune, sier
industri vern leder Aksel Svarstad.
Statkraft bidrar også med to mann til Hydros
industri vern som har en bemanning på 24 personer.
Brann i maskinrom
Meldingen om røykutviklingen kom kl. 12:36. Industrivernet
ryktet ut på en trippelvarsling sammen med
politi og ambulanse. Da industri vernet ankom inngangen
til kraftstasjon ble det opprettet KO med politi.
Personellet som jobbet på kraftstasjon var kommet ut.
– Vi fikk opplyst at det ikke var flere personer inne
i anlegget og at det ikke var røyk i maskinhallen og
tilkomsttunnelen. Dette kunne også sentralen til Statkraft
bekrefte via kamera. Brannvarslingsanlegget indikerte
brann i maskinrom rundt et av produksjonsaggregatene,
sier Svarstad.
Kjentmannsfunksjon
Røykdykkere og kjentmann fra Statkraft tok seg inn til
maskinhallen som ligger 700 meter inne i fjellet. Her
ble det etablert fremskutt KO, og røykdykkere tok seg
nedover i etasjene rundt produksjonsaggregatet.
– Det ble konstatert kun ett rom med røyk, og etter
en stund med søk der ble det klart at årsaken til røykutviklingen
var børstebrann på aggregatet. En slik brann
får man ikke gjort noe med, så etter en tid avtok røykutviklingen
og situasjonen var avklart, sier Svarstad.
Selv om kraftstasjonen ikke var på Hydros eiendom,
er industri vernet godt kjent på anlegget, forteller han:
– Industrivernmannskapet har utført kjentmannsrunder
i dette anlegget, og det var svært nyttig kunnskap
å ha under denne hendelsen. NSO
Slukket branntilløp
Onsdag 5. juli begynte det å brenne utenfor en brakkerigg
lokalisert ved Kårstø Prosessanlegg.
– Det brant i et askebeger på svalgang på utsiden
av en brakkerigg, og medførte branntilløp på ytterveggen,
forteller industri vern leder Hans Tore Stensen.
Innsatslag fra industri vernets 1. linjebered skap ble
sendt ut og slukket branntilløpet.
– Kommunalt brannvesen ankom etter rundt 15 minutter,
men industri vernets innsatslag slukket brannen,
sier Stensen.
• NSO
Da har vi i NISIK gleden av å tilby et kurs
med fokus på traumebehandling. Målgrupper
er de med utvidet sanitetsutdanning, eller
tilsvarende oppgaver i din beredskap.
For å få god samtrening ønsker vi at flere fra samme bedrift
får jobbe sammen, så langt det lar seg gjøre.
Målet med denne dagen, er å gi deltagerne øvelse i å behandle
traumer, mest mulig opp mot reelle skader i industrien
og ellers i samfunnet
TRAUMENE VI SER FOR OSS ER:
• Alvorlig kuttskade/amputasjon
• Alvorlig brannskade
• Livstruende klemskade
• Fallskade (Multitraume)
• (Kan legge inn andre på forespørsel)
Hver post, som tar ca 50 min, ledes av instruktør med tilknytting
til ambulansetjenesten, og fokus blir tilnærming til
pasient, behandling, samt klargjøring for avlevering videre.
Vi har med rutinerte markører, og meget flinke sminkører.
Dagen starter med en rask repetisjon av undersøkelsesmetodikk.
Dette for å skape trygghet hos deltagere.
Antall deltagere er satt til min. 9, max 16 stk.
Vi disponerer moderne lokaler, og det blir servert varmrett
til lunsj.
Kursprisen er satt til 6500,-/ deltager.
Konseptet kan evt. tas ut i andre regioner, ved behov.
Ta gjerne kontakt om det er andre ønsker- Hele landet.
Besøk oss gjerne på www.nisik.no eller facebook
for info og terminliste
TLF. TORE 915 10 223 - FACEBOOK.COM/NISIK.NO/
Sikkerhet nr. 3 • 2017 9

digitalisering
10
Sikkerhet nr. 3 • 2017
AVGJØRENDE RESSURSER: Brunvoll har hatt
en digital tankegang og strategi lenge. De
mener interne ressurser har vært avgjørende
for å få til en god digital omlegging.

Produserer
for fremtiden
Med en tydelig digital strategi
i bakhodet satser Brunvoll AS
på intern kompetanse.
tekst: Karoline K. Åbyholm
foto: Andreas Winter
Sikkerhet nr. • 3 2017 11

digitalisering
«For å unngå outsourcing var det klart
at vi kontinuerlig måtte effektivisere
vår verdikjede og da er den interne
kompetansen avgjør ende.»
Odd Tore Finnøy,
daglig leder
Man skulle kanskje tro at grunnen
til at det var stille i produksjonshallen
hos Brunvoll denne juli-dagen
er fordi folk er på ferie. Men grunnen
til man ikke hører noe bråk er at det er
roboter som gjør de største og tyngste
oppgavene. I noen deler av fabrikken
produseres det så sømløst av roboter at
det føles nesten som vi har reist frem i
tid.
Industrivern leder Frank Arne Solberg
trekker frem et konkret eksempel
på forskjell mellom robot- og menneskeutført
arbeid:
– Tidligere ved manuell sliping av
propellbladene, kunne det være avvik
på noen kilo. Men nå som robotene
gjør jobben, finpusser de bladene ned til
grammet, sier Solberg.
«Digital rød tråd»
Brunvoll er en virksomhet som satser
stort på digitalisering og robotisering,
og det blir lagt merke til utad. Tidligere
i år ble de tildelt Smart Industri-prisen
2017 som én av 80 nominerte under
Industri konferansen i Oslo som ble arrangert
av Norsk Industri.
– Vi er veldig ydmyke over at vi i det
hele tatt var nominert. Det at vi vant
prisen gjør oss motiverte til å gjøre en
enda bedre jobb i fremtiden, sier daglig
leder Odd Tore Finnøy, og legger til at
den digitale tankegangen har vært hos
Brunvoll lenge.
– Brunvoll utarbeidet tidlig en visjon
om «den digitale røde tråd» i vårt arbeide,
som går ut på at vi gjenbruker digital
informasjon løpende gjennom hele
verdikjeden fra salg til ettermarked. For
å få til dette har vi hatt en intern langsiktig
kompetansebygging på digitalisering.
Han mener det lange familieeierskapet
gjør at virksomheten lettere
kan tenke langsiktig.
– Det gjør at vi kan ha lang tidshorisont
når vi jobber med forbedring
og rasjonalisering i stedet for kun å
tenke på det neste kvartalet. Allerede
i 1992 utformet Brunvoll en strategi
om å produsere mest mulig i Norge og
out source minst mulig. Ledelsen den
gang en mente at outsourcing på sikt vil
svekke virksomheten. For å unngå outsourcing
var det klart at vi kontinuerlig
måtte effektivisere vår verdikjede og da
er den interne kompetansen avgjørende,
sier Finnøy.
Selv om Brunvoll har merket nedgangstidene
i oljebransjen, er de ikke
berørt så sterkt som mange andre. Tidligere
i år kjøpte Brunvoll opp Scana
Propulsion AS med datterselskapene
Scana Volda AS og Scana Mar-El AS, så
nå skal produksjonen kjøres tre steder.
Og i fjor ble administrasjonen flyttet fra
Molde sentrum til flunkende nye lokaler
rett over veien fra fabrikken. Byggene er
bundet sammen med en offentlig gangbro
i glass over motorveien.
Intern kompetanse
– Vi driver med automatisering i lave
volum, så motivasjonen vår har vært
hvordan vi kan gjøre dette mest mulig
effektivt og lønnsomt. Alle kan kjøpe
teknologi, men det er den interne
Brunvoll AS, Molde
Produsent og leverandør av
thrustersystemer, som sørger
for styring, framdrift og manøvrering
av avanserte skip, til
alt fra fiskebåter, megayachts,
offshorefartøy til store cruiseskip.
Familieeid bedrift som ble
grunnlagt som Brødr. Brunvoll
Motorfabrikk i 1912 av
brødrene Andreas og Anders
Brunvoll.
300 sysselsatte, 18 av disse er
i industri vernet.
Ble industri vernpliktig i 1948.
Virksomheten har grunnleggende
industri vern.
Har to industri vernpliktige
virksomheter i Norge; i Molde
og i Volda.
Selskapet er representert
ved serviceagenter og salgsrepresentanter
i 22 land, og
i alle verdensdeler unntatt
Afrika.
12
Sikkerhet nr. 3 • 2017

DIGITAL VISJON: Brunvoll satser på digitalisering i sin produksjon, og
utarbeidet tidlig en visjon om «den digitale røde tråd».
KONTROLLPANEL: – Jeg kan styre alt roboten gjør via dette kontrollpanelet, forklarer
robot-fører Tommy Gjendem (t.h.) til industrivernleder Frank Arne Solberg (t.v.) og
brannvernleder Ole Huse.
Sikkerhet nr. 3 • 2017 13

digitalisering
14
Sikkerhet nr. 3 • 2017

NØYAKTIGE: Robotene ved
Brunvoll jobber med en ekstrem
grad av nøyaktighet sammenlignet
med manuelt arbeid. Men
vedlikeholdet klarer de ikke selv
ennå – det må menneskehender
gjøre.
Sikkerhet nr. 3 • 2017 15

digitalisering
GODT HUMØR: Industrivernet tok den
uanmeldte oppmøte-testen med godt
humør. F.v.: Knut Inge Aastad, Ole Huse,
VENSTRE: Det er plassert bårer og førstehjelpsutstyr
på flere steder i virksomheten
slik at industrivernet enkelt kan ta det med.
kompetansen som er avgjørende, sier
Finnøy, og legger til at bedriften har
satset på interne ressurser for å få til
en god digital omlegging.
– Vi er ferdige med den enkle automatiseringen
og digitaliseringen som
baserer seg på kjøp av standard teknologi
og programvare. I det videre
løpet må vi tilpasse mer selv i nært
samarbeid med leverandørene for å
få til den optimale løsningen. Dette
krever ytterligere dybdekompetanse
internt hvor vi bygger på interne digitale
talenter, sier Finnøy.
Lærer opp lærlinger
I tillegg til teknologi og digitalisering
satser bedriften stort på lærlinger. De
har alltid 25-30 lærlinger på virksomheten.
– Vi har god kontakt med ulike
utdanningsinstitusjoner og prøver
å motivere elevene til å velge et utdanningsløp
som gir gode jobbmuligheter
og utfordringer hos oss, sier
Finnøy.
Han legger til at dette også er en
langsiktig strategi:
– Vi retter oss inn mot elever allerede
i ungdomsskolealder, og selv om
vi nå har nedbemannet noe, slipper vi
ikke lærlingprogrammene våre.
HMS-direktør Inger Helene Hals
sier at de tidligere så en overvekt av
skader hos nettopp lærlingene, og at
de nå jobber for å få på plass «de gode
vanene».
– Folk som har jobbet her lenge
gjør gjerne arbeidsoppgavene sine
på én måte, og da er det fort gjort for
lærlingene å kopiere også de dårligere
vanene. Den største fordelen til lærlingene
er jo nettopp at de har friske
øyne. Derfor har vi brukt mye tid på å
jobbe forebyggende slik at lærlingene
skal opparbeide seg gode arbeidsvaner.
Dette ser vi heldigvis resultater
av på statistikken, og antall ulykker
med lærlinger har gått ned, sier hun.
Ser på skadestatistikken
– Blant andre ansatte ser vi at de
vanligste skadene er det som gjerne
kan kalles «dumme skader», de som
«skulle bare», sier Hals.
Virksomheten har gjennom risikoanalyser
kommet frem til at de har
størst sannsynlighet for person skader
som et resultatet av kutt- og klemfare.
Arbeid som gir høyest risiko er imidlertidig
arbeid i høyden, transport og
varme arbeid.
– Når vi legger opp øvelser for
industri vernet så ser vi på skadestatistikken
i tillegg til risikoanalysen.
Så velger vi tema på øvelsen etter det.
Hun forteller at de har vært heldige
som ikke har opplevd noen store
hend elser de siste årene.
– Sist vi hadde en større hendelse
var i 2014. Da var det en ansatt som
satt fast kjeledressen i en fres, ble med
fresen rundt for deretter å bli kastet
ned på arbeidsbordet. Det endte til
slutt med en brist i hofta. Det gikk etter
forholdene bra, og han var tilbake
på jobb etter halvannen måned, sier
Hals.
16
Sikkerhet nr. 3 • 2017

Jon Magnus Sandvik, Kai Lyngstad (bak),
Vegard Steen, Raymond Gjeldsten, Frank
Arne Solberg og Odd Einar Skarvøy.
HØYRE: Når alarmen går, får alle i industrivernet
beskjed på en personsøker om hvor
alarmen er utløst.
Ved bedriften har de gjort flere tiltak
for å hindre såkalte «småskader».
– Vi har innført bedre rutiner på
bruk av vernebriller, slik at folk ikke
skal få metallspon i øynene eller bli
blendet av sveiselyset. Det er gledelig
å se at tiltakene vi har innført gir effekt,
og vi har færre skader enn tidligere,
sier Hals.
– Vi har også alltid en debrief etter
hendelser. Da legger vi eventuelle
forbedringspunkter inn i vår for bedrings
database. I databasen kan vi senere
finne aksjonspunktene og hvem
som er ansvarlig for å utføre dem,
skyter industri vern leder Solberg inn.
Test av alarmknappen
Under omvisningen i produksjonshallen
er det lett å legge merke til
alarmknappene som er plassert rundt
på virksomheten. Når noen trykker
på en slik knapp går det en alarm
til personsøkerne til alle i industrivernet.
På displayet får disse opp en
beskjed om hvor i fabrikken alarmen
har blitt utløst, så de umiddelbart vet
hvor de skal møte opp.
– Skal vi ta en liten test av
alarmknappen og varslingssystemet,
spør Hals lurt.
Solberg er enig og smeller inn
knappen.
Allerede innen det har gått ett minutt
har et halvt dusin industri vernere
kommet ilende til, flere av dem med
bårer og førstehjelpsutstyr.
– Så bra at dere kommer raskt, men
det var nok bare en øvelse til ære for
Sikkerhet, sier Solberg unnskyldende.
«Mini-øvelsen» blir tatt med godt
humør blant industri vernet som stiller
velvillig opp for fotografen.
– Vi bruker alarmknappene ved
personskader eller hvis folk på en eller
annen måte ønsker kontakt med
industri vernet, sier Solberg.
Alarmknapp på kveldstid
Virksomheten har produksjon hele
døgnet med tre skift, men det er bare
ett av skiftene som er bemannet.
– Resten tar robotene seg av, sier­
Solberg.
– Når vi kommer på jobb på morgenen,
får vi unna komponentene
maskineringssentrene og robotene
har produsert i løpet av natten. Disse
produserer også på dagtid. Før vi går
legger vi klart materiell slik at maskineringssentrene
og robotene får gjort
jobben videre på kveld og natt, sier
han.
Det er likevel noe kveldsjobbing for
enkelte, men produksjonen opprettholdes
ikke i så stor grad som på dagtid.
Virksomheten har vurdert at det
ikke er nødvendig å ha et fullverdig
industri vern tilgjengelig på kvelds- og
nattestid.
– De som jobber kveld har på seg
en såkalt trygghetsalarm, omtrent slik
som eldre gjerne har, forteller HMSdirektør
Hals.
– Hvis de trykker på knappen går
alarmen direkte til vaktselskapet.
Vaktselskapet har nøkler og kan låse
seg inn på området vårt hvis det skjer
Sikkerhet nr. 3 • 2017 17

digitalisering
VANT PRIS: Brunvoll gikk helt til topps i Norsk Industris kåring av landets smarteste
industribedrift tidligere i år. Prisen ble delt ut til Brunvolls daglig leder Odd Tore Finnøy av
Arbeiderpartiets leder Jonas Gahr Støre.
Foto: Cathrine Westlie Eidal/Norsk Industri
en hendelse, sier brann vern leder Ole
Huse.
– De tar også saken videre med
nød etatene hvis de ser behovet for
det, sier Solberg.
– Hurtig inngripen avgjørende
Daglig leder Finnøy er ikke i tvil om
hvor viktig industri vernet er for bedriften.
– Industrivernet gjør en enorm
viktig innsats på den forebyggende
siden. Alle hendelser har potensiale
for å bli større, og da er hurtig inngripen
avgjørende. Industrivernet er
også med på å øke bevisstheten til alle
ansatte om viktigheten av en sikker
arbeidshverdag, sier han.
– Jeg opplever at vi har god støtte
og forankring hos ledelsen. De er ikke
vonde å be dersom jeg ønsker nytt utstyr
eller vil sende folk på kurs, sier
Solberg.
Både han og Huse deltok på et
risiko vurderingskurs i fjor.
– Jeg følte at jeg trengte mer input
på dette området, så jeg synes det var
en stor fordel at vi deltok begge to så
vi har en felles forståelse av temaet.
Jeg har lent meg mye på brann vernleder
Huse, og vi føler vi utfyller hverandre
godt, sier Solberg som har vært
i stillingen som industri vern leder i
halvannet år.
Solberg forteller at i tillegg til støtte
i virksomheten har de et godt forhold
til brannvesenet.
– Brannvesenet har bedt om å få bli
bedre kjent med fabrikken vår. Vi har
gått flere kjentmannsrunder med flere
brannskift, og vi opplever at både vi
og brannvesenet får noe igjen for det.
Virksomheten har også brukt en
del tid på å finne riktig bedriftshelsetjeneste.
– Vi har funnet en aktør som passer
godt for oss, så vi bruker dem mye i
opplæringsarbeidet av industri vernet.
Vi har hatt flere førstehjelpsøvelser,
og vi har også hatt en hel dag viet til
førstehjelpsopplæring, sier Solberg.
•
18
Sikkerhet nr. 3 • 2017

ØVDE SAMMEN: Industrivernet
ved Brunvoll har et godt
samarbeid med brannvesenet,
og hadde en brannslukningsøvelse
i samarbeid med Molde
brannvesen i mai.
Foto: Jonny Hals/Brunvoll
Står imot angrep
Stadig mer utbredt digitalisering og
robotisering kan skape mange utfordringer
for sikkerhetsarbeidet. HMSdirektør
Inger Helene Hals forteller
at Brunvoll har risikovurdert og gjort
tiltak med tanke på nettopp slike
hendelser.
– Robotisert produksjonsutstyr
er i all hovedsak segmentert ut i
egne nettverk hvor tilgang direkte
til inter nett er blokkert. Tilgang til
robotiseringsutstyr til operasjon og
monitorering samt opplasting av produksjonsgrunnlag,
er beskyttet bak
egen brannmur og nettverkslag. I tillegg
kjører alle maskiner antivirus og
løsninger som følger med på bruksmønster
på de enkelte maskinene.
Det vil si at unormal oppførsel blokkeres,
forteller Hals.
Hun legger til at det arbeides kontinuerlig
med å forbedre sikkerhet og
kvalitet på interne nettverkstjenester
opp mot kravet til produksjon og
data flyt i fabrikken.
– Muligheten for hacking med
de tekniske og sikkerhetsmessige
løsning er vi har på plass i dag er vurdert
til lav. Selskapet har en egen policy
for informasjonssikkerhet hvor
dette er en del av vår helhetlige sikkerhetsstrategi,
sier Hals.
Hacking-forsøk
Virksomheten har vært utsatt for
hacking-forsøk, både såkalte løsepenge-virus,
også kalt «ransomware»-
virus, og mer målrettede svindelforsøk.
Hals mener virksomheten
ikke har tapt mye på disse forsøkene.
– Kostnader ved «ransomware»
har begrenset seg til tap av arbeidstid
i enkelte funksjoner i bedriften, altså
kartlegging og tid for å hente tilbake
sikkerhetskopiert data. Robotisering
har ikke vært påvirket av denne typen
angrep, sier hun.
Hals forteller at hackerne har fanget
opp epostkommunikasjon mellom
bedriften og kundene. Deretter har de
kunne operere som et bindeledd og
endret vedlegg i epostene.
– Som følge av dette betalte en av
våre kunder i Asia ut et beløp til en
KONTinuERLIG ARBEID: HMS-direktør
Inger Helene Hals forteller at Brunvoll
kontinuerlig jobber for å forbedre sikkerhet
og kvalitet på interne nettverkstjenester.
konto som ikke var vår, da bankinformasjon
ble endret uten at kunden fikk
dette bekreftet fra oss, sier hun.
– Ikke avhengig av nett
All produksjonsdata er lagret i egne
datasenter som er designet på en slik
måte at ett av datasenterene kan falle
helt ut uten av dette påvirker den daglige
produksjonen.
– Vi er per dags dato ikke avhengig
av internettilgang for produksjon.
Robotiseringssentre er også i stand
til å operere uten intern nett-tilgang.
Opplasting og mating av data kan da
enten skrives inn lokalt eller overføres
med andre medier om behovet skulle
oppstå, sier Hals.
Informasjonssikkerhetspolicy
– Har industri vernet oppgaver ved en
security-hendelse?
– Vi har en egen taktikk for informasjonssikkerhet,
en bered skapsplan,
som også sier hvilke oppgaver og
ansvar de ulike har ved hendelser.
Administrerende direktør er eier av
policyen, chief financial officer og
IKT-sjef er ansvarlig for implementering
og etter leving av denne. Industrivernet
har ingen spesifikk oppgave
knyttet til informasjonssikkerhet,
men hend elser som er IKT-relatert
som påvirker øvrige sikkerhetsaspekt
og industri vern ved bedriften, løper
selvsagt som normalt utover dette,
sier Hals.
NSO
Sikkerhet nr. 3 • 2017 19

digitalisering
«NSO forventer at alle industrivernpliktige
virksomheter tar en
ekstra runde på sine risiko vurderinger
for å bidra til en enda mer effektiv og
forsvarlig bered skap tilpasset både
‘nye’ og ‘gamle’ hend elser»
Tilpasset bered skap uansett årsak
Industrivernet må også kunne
håndtere konsekvenser av
hendelser som er planlagt av
noen som ikke vil dere vel.
Når det smeller er vi som jobber med bered skap i
første omgang ikke så opptatt av hvorfor det smalt.
Om hendelsen skyldes materialtretthet, rutinesvikt
eller et ondsinnet hackerangrep på et IKT-basert
styringssystem, vil vi uansett jobbe for å sikre liv,
helse, miljø og andre verdier i de første fasene etter
en hendelse. Samarbeid internt, og så med nødetatene,
skal sikre at konsekvensene av hendelsen reduseres
best mulig.
Likevel vil det ganske tidlig være interessant å forstå
hva som har skjedd – og ikke minst hva som kan
komme til å skje videre. Dette sikrer at vi går i innsats
på en så effektiv og forsvarlig måte som mulig.
Noen hendelser er oversiktlige og krever ikke langvarig
innsats med behov for å «se inn i glasskula».
Andre hendelser kan få konsekvenser som setter i
gang nye hendelser. Det kreves kunnskap og erfaring
for å sikre at innsatspersoner ikke blir utsatt for
unødig fare i slike situasjoner. Dette gjelder særlig
hvis hendelsen er ukjent og konsekvensene er helt
uvanlige. Da blir det vanskeligere å forutsi hvordan
hendelsen utvikler seg videre.
Inkluder tilsiktede hendelser
Hvordan forbereder vi oss på disse utfordringene?
Ute på tilsyn vil NSO gjerne se oversikten over uønskede
hendelser – kravet i forskriftens § 5. Denne
oversikten skal brukes til å dimensjonere og organisere
et tilpasset industri vern. Samtidig er denne
oversikten et veldig godt utgangspunkt for å lage
plan for øvelser.
Nå som internkontrollens krav til å «kartlegge
farer og problemer» også inkluderer «uønskede
tilsiktede hendelser» må dette reflekteres i risiko­
20
Sikkerhet nr. 3 • 2017

kommentaren
TILSIKTEDE HENDELSER: Internkontrollforskriften krever at «uønskede tilsiktede hendelser» skal være en del av virksomhetens
kartlegging av mulige farer og problemer. Dette må også reflekteres i risikovurderingene og oversikten over uønskede hendelser,
sier direktør i NSO.
Illustrator: miniaria/Shutterstock.com
vurderingene og oversikten over uønskede hendelser.
Dette gjelder alt fra fysiske innbrudd, hærverk
på sikkerhetskritisk utstyr til datainnbrudd i styrings-/kontrollsystemer
og stjeling eller manipulering
av viktig informasjon.
Industrivernet må altså også kunne håndtere konsekvenser
av hendelser som er planlagt av noen som
ikke vil dere vel. Hva kan det bety hos dere? Det kan
bety at alarm-/varslingsanlegget blir satt ut av drift
slik at det blir vanskelig å få varslet både de berørte
og industri vernets innsatspersoner. Noen kan ha
ødelagt eller manipulert barrierer som er laget for å
forhindre alvorlige konsekvenser. Bare fantasien setter
grenser for denne typen hendelser. Derfor er det
viktig å jobbe systematisk for å kartlegge sårbarheter
og verdier samt gjøre realistiske vurderinger av trusselbildet.
Ta en ekstra runde
Det er selvsagt ikke sånn at all norsk industri plutselig
er veldig mye mer utsatt for datainnbrudd, terror
eller omfattende spionasje. Likevel er det nå et krav
om at alle skal vurdere tilsiktede handlinger i det
systematiske HMS-arbeidet. Det kan for eksempel
bety at farlige stoffer må sikres bedre, at det bør bli
bedre kontroll på trafikken inn og ut av området og
at den generelle bevisstheten rundt sikring av både
fysiske verdier og verdier/informasjon på nett blir
bedre.
NSO forventer at alle industri vernpliktige virksomheter
tar en ekstra runde på sine risikovurderinger
for å bidra til en enda mer effektiv og forsvarlig
bered skap tilpasset både «nye»
og «gamle» hendelser.
Knut Oscar Gilje
Direktør
Sikkerhet nr. 3 • 2017 21

digitalisering
Følg reglene – unngå trøbbel
En rekke råd og regler
hjelper deg å ferdes
trygt i det digitale landskapet.
Akkurat som på fjellet, på sjøen og alle andre
steder hvor vi ferdes finnes det et knippe
forholdsregler det kan være greit å ta.
Dette gjelder ikke minst på internett også.
På nettstedet nettvett.no har myndighetene
samlet råd for bruk av internett og
datamaskiner, her gjengir vi noen av dem i
bearbeidet versjon. Nettstedet er et samarbeid
mellom NorSIS (Norsk senter for
informasjonssikring), NSM (Nasjonal
sikkerhetsmyndighet) og Nkom (Nasjonal
kommunikasjonsmyndighet).
Besøk nettvett.no for flere utfyllende
veiledninger.
Bruk brannmur og antivirusprogram
Et antivirusprogram skanner epost og filer
på datamaskinen og forsøker å identifisere,
motarbeide og fjerne datavirus og likn ende
ondsinnet programvare. Antivirus skal
også identifisere mistenkelig oppførsel fra
et hvilket som helst program, som kan bety
at programmet er infisert med virus.
Antivirusprogrammer er i dag ofte en
del av en større programpakke som i tillegg
kan inneholde brannmur, antisøppelpost
og antispionprogramvare.
De fleste operativsystemer har brannmur
innebygd, men man må selv for sikre
seg om at den er skrudd på.
En brannmur (av engelsk firewall) er
maskinvare og/eller programvare som beskytter
datanett mot uønsket kommunikasjon.
Den kontrollerer informasjon en som
sendes inn og ut mellom data maskinen og
internett, og tillater kun sending og mottagelse
av godkjent informasjon. Den hindrer
også uautoriserte tilkoblinger fra andre
datamaskiner.
Hold operativsystemer og
programmer oppdatert
Sørg for at operativsystemet, installerte
programmer og apper
på alle dine enheter som datamaskin,
mobil og nettbrett
alltid er oppdatert. Slå på
automatiske oppdateringer
der dette er mulig.
Ikke bruk konto med administratorrettigheter
på PC
Den brukerkontoen som er i daglig bruk bør
ikke ha administratorrettigheter. På din private
PC bør du ha en admin-konto og en eller
flere dagligkontoer uten admin-rettigheter.
På en arbeids-PC bør ikke sluttbrukere ha
admin-rettigheter. I et sentralt administrert
system kan sluttbrukere få den programvaren
de trenger fra et felles distribusjonspunkt.
Følg rådene for sikker pålogging.
Aktiver 2-trinns bekreftelse (to-faktorautentisering med passord
+ sms) for alle brukerkontoer på nett der det er mulig.
Lag unike passord for alle brukerkontoer.
Gode passord har en lengde på minst 12 tegn, og bør helst bestå
av symboler, små/store bokstaver og tall. Det bør helst ikke
være et ord i ordboken, eller inkludere ord/tall som kan assosieres
med deg. Passordet bør være unikt for hvert enkelt nettsted.
Benytt 2-trinns verifisering der dette er mulig.
Å lage et sterkt passord er en enkel jobb, men utfordringen
blir å huske disse passordene. Spesielt når man ønsker et unikt
passord for hver enkelt nettside. For å gjøre det enklere å huske,
anbefales det å bruke fraser eller hele setninger som passord.
22
Sikkerhet nr. 3 • 2017

Ta sikkerhetskopi
Sørg for at du tar jevnlig sikkerhetskopi av de viktigste filene
dine. Husk at dette må gjøres for alle enhetene dine.
Bruk gjerne en lagringsenhet som kan være tilkoblet datamaskinen
eller mobilen ofte og som støtter automatisk
kopiering. Dette kan gjerne være en skytjeneste.
Noen skylagringstjenester oppretter en egen mappe i
maskinens filsystem, og synkroniserer kontinuerlig filene
der mot de i skyen. Når et løsepengevirus da krypterer filer
på maskinens filsystem, inkluderer det filene i skymappen.
Disse blir synkronisert, slik at filene i skyen også blir
kryptert.
Dette fører imidlertid ikke til at løsepengeviruset sprer
seg videre på andre synkroniserte enheter.
Mange skytjenester har versjonshistorikk, slik at det er
mulig å rulle tilbake til tidligere versjoner av filer. Da har
man i praksis en sikkerhetskopi av sky-filene, selv om det
kan være tidkrevende å gjenopprette derfra.
Bruk også gjerne en ekstern harddisk, som du kopierer
manuelt til med jevne mellomrom og som du oppbevarer
adskilt fra datamaskinene din, på et trygt sted.
Setninger er mye enklere å huske enn kombinasjoner av
enkelte bokstaver og tall. Dessuten er passordet like sikkert,
hvis ikke mer sikkert, enn tradisjonelle passord med
færre bokstaver. Men setningen må inneholde:
• Minst 5 ord.
• Variasjon av små og store bokstaver
• Symboler og tall
• Mellomrom om tjenesten tillater det
Skriv gjerne passordene ned på et papir som du lagrer på
et trygt sted. De passordene du bruker ofte bør du memorere.
Unngå åpne
nettverk
Når du er på et
åpent trådløst
nettverk kan alle
andre på det
nettverket se hva
du gjør.
Sikkerhet nr. 3 • 2017 23

digitalisering
Ikke klikk på lenker: 1. Hold musa over lenken, da kan du kanskje se hvor den fører. 2. Hvis ikke: høyreklikk og kopier lenken. 3. Lim i et
dokument, les den nøye. Vær obs på små «skrivefeil» som sparebank2.no i stedet for sparebank1.no. 4. Lim riktig adresse inn i nettleseren.
Vær forsiktig med lenker og personopplysninger
Før du klikker på en lenke mottatt på epost eller
lignende eller på ukjente nettsteder, sjekk at den
fører til riktig nettsted, se bildene over.
Er du i tvil? Gå heller inn på virksomhetens
nettsted og naviger deg til rett side.
Vurder mottaker nøye før du sender informasjon
om deg selv. Ikke send sensitiv informasjon
over en ukryptert kobling, se bildet til høyre.
Kryptert vs ukryptert: Sjekk at forbindelsen er kryptert når du legger
inn personlig og sensitiv informasjon på nett (i nettbanken, nettbutikker og
andre sider hvor du har en brukerkonto). Adressen til nettstedet skal da starte
med «https» i stedet for http, og ha en grønn hengelås i adressefeltet.
Bruk epost og andre kommunikasjonstjenester med omhu
Dobbeltsjekk mottakeradressen når du sender epost. Kontroller
at du har lagt ved riktige vedlegg. I følge Mørketallsundersøkelsen
2012 var epost sendt til feil adressat en av de
største årsakene til at informasjon kan ha kommet på av veie.
Ikke send personlig eller sensitiv informasjon over epost
ukryptert.
Svært mye av svindel og virus når oss gjennom epost vi
mottar. Ta deg tid til å tenke gjennom følgende:
• Har jeg forventet denne eposten?
• Stemmer avsenderadressen?
• Ser selve meldingen troverdig ut?
• Ser lenker og vedlegg trygge ut?
Spiller innholdet i meldingen på følelser som tillit, frykt eller
fristelser, samtidig som den prøver å få deg til å gjøre noe,
så er dette kjente tegn på svindelforsøk. Ring eventuelt avsenderen
for å få bekreftet eller avkreftet at eposten er legitim.
Vær forsiktig med å åpne vedlegg, også fra personer du
kjenner.
Ikke klikk på lenker sendt deg på meldingstjenester o.l. før
du har forsikret deg om at lenken er trygg. På Facebook messenger
spres virus ved at hackede venner sender en melding
med f.eks. «Sjekk ut denne morsomme videoen av deg» og
en lenke.
Ikke delta i konkurranser eller tester der du gir fra deg
personlig informasjon til noen du ikke vet hvem er.
Tenk over hva du deler på nett
Vurder hvordan du fremstiller deg selv på ulike sosiale
medier.
Vær bevisst på hva slags personlig informasjon du
publiserer.
Forvent at alle kan se informasjonen du deler, både
om jobb og privatliv. Vær kritisk og sørg for at du kan
stå for det du legger ut! Publiser kun ting du ville sagt
ansikt til ansikt.
Ikke legg ut informasjon om venner eller kolleger
uten tillatelse.
24
Sikkerhet nr. 3 • 2017

Stopp trakassering
Opplever du at noen oppfører seg dårlig
mot deg på nett? Ikke svar. Blokkér
og rapporter!
Hvis du blir trakassert, uthengt,
ekskludert eller liknende på nett, ta
vare på bevis, for eksempel ved å ta
skjermbilde.
Trusler og trakassering, på nett eller
i annen form, er brudd på norsk
lov, og bør meldes til politiet.
Oppdager du at noen utsettes for
mobbing, vær en venn, ta ansvar og
si ifra.
Unngå å falle for fristelser
Vær oppmerksom dersom:
• Noe virker for godt til å være
sant – da er det gjerne det!
• Du mottar tilbud på produkter
som er tilnærmet eller helt gratis
mot at du oppgir personlig
informasjon.
• Du mottar eposter som oppgir
at du har vunnet store
penge beløp eller at du har fått
«tilbakeført» et pengebeløp du i
utgangspunktet ikke kjenner til.
Ta ansvar – vær åpen om hendelser
Alle kan bli lurt. Fortell de rundt deg
om trusler og farer du har opplevd.
Åpenhet sprer kunnskap og trygghet,
uten å spre frykt. Åpenhet gjør det
mindre skamfullt å være et offer for
kriminalitet på nett.
Rapporter sikkerhetsbrudd, hendelser
og trusler du opplever på
arbeids plassen til nærmeste leder eller
IT-ansvarlig.
Å anmelde datakriminalitet er
svært viktig for at politiet skal kunne
bekjempe denne type kriminalitet. På
nettvett.no kan du finne et forenklet
skjema for anmeldelse av datakriminalitet.
• NSO
Sikkerhet nr. 3 • 2017 25

digitalisering
Ofte stilte spørsmål: Hacking
Ikke alle hackere har onde
hensikter. Noen vil ha det
gøy, mens andre beskytter
oss mot skurkene.
Hva er hacking?
Mange setter likhetstegn mellom
hacking og datakriminalitet, men dette
trenger ikke nødvendigvis å være
det samme. En hacker er en person
som er i stand til å løse problemer og
utfordring er ved hjelp av informasjonsteknologi
på svært kort tid.
Dersom hackeren har onde hensikter
kalles hackingen datakriminalitet.
Dette er kriminalitet som er rettet mot
data og datasystemer, og kriminalitet
hvor datautstyr benyttes som verktøy
for å begå handlingen.
Hvem er hackerne?
Noen hackere jobber med å utfordre
datasikkerheten til bedrifter, og forsøker
å finne hull i sikkerhetsnettet.
Andre hackere er kriminelle, og bruker
sikkerhetshull og feil til egen eller
andres vinning. Derfor skiller man på
hensikten til hackerne, og setter dem i
kategorier basert på dette:
• «Script kiddies»/småbarna: Er
sjeld en motivert av annet enn
spenningen og å kunne skryte etterpå.
Denne gruppen bruker enkle
verktøy til å søke etter sikkerhetshull
og -mangler hos tilfeldige ofre.
Verktøyene lager de sjelden selv,
de bruker andres skript.
• Hacktivistene: Ulike grupper med
mål som kan relateres til sosiale,
ideologiske, religiøse eller politiske
forhold. I stedet for å bryte seg inn
i noens IT-systemer, har «hacktivistene»
ofte til hensikt å tvinge
en organisasjon eller bedrift i kne
ved å overbelaste datasystemene
og få publisitet som følge av angrepet.
• Black Hat/Cracker: Hacker med
ondsinnede hensikter. Hattefargen
er en referanse til western-filmer
der skurkene som regel hadde
svarte hatter.
• White Hat: Hacker som ikke har
onde hensikter (noen ganger referert
til som «etisk hacker»).
• Grey Hat: En hacker som er midt
imellom Black Hat og White Hat.
Hverken good guy eller bad guy.
• Blue Hat: En hacker som arbeider
for et datasikkerhetsfirma, og som
tester ut systemer og programmer
før lanseringen for å avdekke
sårbarheter.
26
Sikkerhet nr. 3 • 2017

Aktivister på nett: «Anonymous» er kanskje det mest kjente hacker-aktivist-nettverket.
Andre hackere arbeider for firmaer og myndigheter der de forsøker å tette sikkerhetshullene.
Foto: Gorodenkoff/Shutterstock.com
Hvordan merker man at man er hacket?
Selv om det kan være vanskelig å oppdage at
uvedkommende har tuklet med datamaskinen,
er det likevel noen tegn man kan være på utkikk
etter. Her er fem eksempler:
• Datamaskinen jobber tregt
• Datamaskinen oppfører seg merkelig
• Du får ikke logget deg på
• Du mottar merkelige meldinger
• Sikkerhetssystemene dine varsler deg
Hvordan jobber de?
Hackere kan både jobbe
alene eller i større grupper/nettverk,
her finnes
det ingen fasit. Men hackere
som er med på større
hackings- og svindelforsøk
jobber som regel i
større grupper.
Kilder: Store norske leksikon, Wikipedia, E24, NRK, Mørketallsundersøkelsen 2016
Hvilke former for hacking finnes det?
De mest typiske formene for datakriminalitet
er datainnbrudd, dataangrep,
databedrageri, informasjonsheleri
og piratkopiering.
• Datainnbrudd: En uberettiget
inntrengning i et datasystem for
å skaffe seg tilgang til beskyttet
informasjon. Man kan skaffe seg
uberettiget tilgang på mange forskjellige
måter, for eksempel ved å
misbruke passord (som kan være
fremskaffet gjennom sosial manipulering)
eller utnytte sikkerhetshull
(som kan være skapt gjennom
dataangrep). Tapte eller stjålne
datamaskiner, mobiltelefoner eller
minnepinner utgjør en stor risiko
for datainnbrudd.
• Dataangrep: En ondsinnet manipulasjon,
endring eller sletting
av data som kan medføre at et
datalagringsmedium ikke lenger
kan brukes slik eieren har bestemt.
Eksempler er implantering
av «trojanske hester» eller virusprogrammer
som kan ødelegge
data og programmer eller gjøre
anlegget sårbart ved å lage sikkerhetshull.
De vanligste data angrepene
fra internett skjer via e-post
og nettsider, minnepinner infisert
med skadevare, gjerne opprinnelig
fra internett, er ikke uvanlig.
• Databedrageri: Bruk av uriktig eller
ufullstendig opplysninger, ved
endring i data eller programutrustning
eller som på annen måte
rettsstridig påvirker resultat et av
en automatisk databehandling, og
derved volder tap eller fare for tap
for noen.
• Informasjonsheleri: kjøp og annen
befatning med informasjon
som er utbytte av en straffbar
handling.
• Piratkopiering: Kopiering av
åndsverk uten tillatelse fra opphavsrettshaveren.
Lenge var kopiering
av tekst den vanligste formen
for piratkopiering, men i dag er
kopiering av musikk, film, medisin
og merkevarer mer vanlig.
Sikkerhet nr. 3 • 2017 27

digitalisering
Hva koster dataangrep norsk næringsliv?
Nasjonal sikkerhetsmyndighet
(NSM) tallfestet i 2012 for første
gang omfanget av datakriminalitet
mot norsk næringsliv. NRK skrev at
bedriftene tapte 20 milliarder kroner,
og mange vet ikke engang at
de er blitt rammet.
I Mørketallsundersøkelsen 2016
melder 4 av 10 virksomheter at de
har hatt produktivitetstap i forbindelse
med uønskede sikkerhetshendelser
(i form av tapte arbeidstimer),
men kun 2 av 10 oppgir at
de har hatt kostnader som følge av
slike hendelser.
Hvor mange blir hacket?
Annethvert år kartlegger Næringslivets
Sikkerhetsråd omfanget av
datakriminalitet i norsk næringsliv
gjennom Mørketallsundersøkelsen.
I undersøkelsen fra 2016 sa mer
enn hver fjerde bedrift at de har blitt
utsatt for en form for datakriminalitet.
Sikkerhetshendelsene fører
ofte til både produktivitetstap og
Kan man sikre seg 100 prosent mot ondsinnet hacking?
Den sikreste måten å unngå å bli
utsatt for datakriminalitet, er å
leve uten elektronikk – bankkort,
smarttelefon, PC, nettbrett. Men i
dagens samfunn er det vanskelig å
gjennomføre. Så lenge man bruker
utstyr med nettilgang kan man bli
Hvordan vil hacking bli i fremtiden?
finans ielle tap. Hele 13 prosent av
de spurte bedriftene i Mørketallsundersøkelsen
oppgir at de ikke vet
hvor mye det kostet da bedriften
ble angrepet, og kun 9 prosent tar
saken videre til politiet. Rapporten
slår fast at mange norske virksomheter
mangler oversikt over hva sikkerhetshendelsene
koster dem, eller
undervurderer disse kostnadene.
hacket. Forhåndsreglene man kan
ta er blant annet å lage sikre passord,
være oppmerksom mot suspekte
linker og ikke logge inn på
sider med sensitiv informasjon på
åpne nettverk.
Det er vanskelig å si noe om hvordan hacking i fremtiden vil bli. Det man
kan anta er at hackere vil være raske med å ta i bruk nye plattformer og sosiale
medier, og utnytte sikkerhetshullene som eventuelt finnes her.
Beskytt bed
Ved å følge ekspertenes
råd kan bedriften
unngå store
kostnader.
Norske virksomheter, spesielt små og
mellomstore bedrifter, er yndede mål
for cyberkriminelle som er ute etter
penger. Foreningen Norsk senter for
informasjonssikring (NorSIS) arbeider
for økt kunnskap om og forståelse
for informasjonssikkerhet. NorSIS
har laget en rekke veiledere som beskriver
noen av de vanligste svindelmetodene,
og hva du kan gjøre for å
28
Sikkerhet nr. 3 • 2017

Vær oppmerksomme: Svindlere har
mange triks for å lure til seg verdier fra
norske virksomheter. Derfor er det viktig
å være oppmerksom på hvilke metoder
hackere benytter seg av.
Foto: vchal/Shutterstock.com
vanlige rutiner og prosedyrer.
I virkeligheten er ikke e-posten eller
SMS-en fra lederen, men fra en
svindler som får det til å se ut som om
henvendelsen er sendt fra lederen.
Pengene blir overført til utlandet, og
blir så sendt gjennom flere forskjellige
banker i forskjellige land som gjør
dem vanskelig å spore.
riften mot svindel
beskytte deg og din virksomhet.
Epost-svindel med løsepengevirus
Svindelkampanjer der det sendes ut
mengder med falske eposter eller
SMS-er blir stadig mer vanlig. I mange
tilfeller har disse som formål å spre
løsepengevirus. Dette viruset krypterer
filene på offerets datamaskin,
og krever løsepenger for å dekryptere
dem. Dette er en stor trussel mot
bedrifter, som ofte har svært mange
virksomhetskritiske filer lagret i sine
datasystemer.
NorSIS anbefaler ingen å betale
løsepengene dersom de blir rammet
av løsepengevirus. Det vil bidra til
å gjøre bruk av løsepengevirus enda
mer lukrativt for cyberkriminelle, og
den negative trenden vil dermed fortsette.
I tillegg kan de kriminelle bruke
pengene de tjener for eksempel til
finansiering av terrorisme.
Direktør-svindel
Denne typen svindel innebærer for
eksempel at noen som jobber i økonomiavdelingen
mottar en e-post eller
en SMS fra en leder i virksomheten,
gjerne administrerende direktør
(derav navnet direktør-svindel, og det
engelske navnet CEO fraud). Lederen
ber den ansatte om å overføre et
større beløp, og det presiseres gjerne
at det haster, noe som gir den ansatte
lite tid til å tenke seg om eller følge
Phishing og falske innloggingsider
Phishing, ofte kalt nettfiske på norsk,
er det å lure til seg sensitiv informasjon,
som passord eller bankkort-informasjon,
over internett.
I mange tilfeller gjøres dette via
nettsider som ser ut som de ekte
innloggingssidene til for eksempel
Facebook, nettbanken din eller e-
postleverandøren din. Om man prøver
å logge seg inn på disse sidene, vil
brukernavn og passord havne hos de
kriminelle.
Falske innloggingsider kan ofte
avsløres på URL-lenken, vær obs på
at lenken du ser i en e-post eller i en
SMS ikke nødvendigvis er den du faktisk
havner på (se sak side 20). Lenker
til disse falske sidene får man gjerne
i en SMS eller e-post som utgir seg
for å være fra en pålitelig avsender.
Om den falske siden er innlogging
for nettbanken din, kommer lenken
for eksempel i en SMS som ser ut til
å være fra banken din, der det bes om
at du følger lenken, logger inn, og bekrefter
litt informasjon.
Med mindre det fiskes etter betalings-
og bankkort informasjon, er ikke
dette en form for økonomisk svindel i
seg selv, men brukes ofte som et ledd
i kampanjer med økonomisk svindel.
Cyber kriminelle tar over brukerkontoene
de stjeler passord for, og bruker
dem videre i svindelforsøkene sine.
Det har blant annet blitt sett eksempler
på at cyber kriminelle har brukt
slik tilgang til å endre på e-postfakturaer
før de send es ut, slik at pengene
havner hos dem.
Sikkerhet nr. 3 • 2017 29

Beskytt virksomheten
Digitaliseringen gjør at virksomheter må
tenke nytt om sikkerhet. Like vel er noe konstant:
De ansattes kunnskap og holdninger
er viktigst.
De ansatte er virksom hetens beste forsvar. Årvåkne ansatte kan sees på
som en del av virksomhetens «sensornettverk», ved at de er oppmerksomme
på trusler og svindelforsøk, lar være å gjøre tabber og meld er fra
når noe skjer.
Informasjon og holdening
På den måten unngår virksomheten som helhet mange trusler, og både
ledelsen og de ansatte får et godt trusselbilde.
Så det viktigste rådet til virksomhet ene er: Gi de ansatte informasjon
om farene som lurer og hvordan de skal unngå å gå i fella. Driv
holdnings skapende arbeid så alle er årvåkne.
Gode rutiner er essensielt
Regler og rutiner kan ofte oppleves som unødvendige og plagsomme, og
det kan føles som om de legger en demper på produktiviteten. Da er det
viktig med god informasjon så de ansatte forstår hvorfor akkurat disse
rutinene er viktige.
Om de ansatte gjør det til en vane å ta snarveier rundt etablerte regler
gjør de seg selv en bjørnetjeneste, og de gjør de kriminelle en kjempetjeneste.
Det blir da mye enklere for kriminelle å få gjennomslag med
svindelforsøkene sine.
Gode rutiner for blant annet betalinger, og hva som skal gjelde av
eventuelle unntak er viktig. Når alle er klar over og innforstått med disse
rutinene, skal det mye mer til for at et svindelforsøk lykkes.
Riktige løsninger
I tillegg kan mye gjøres med systemene for å minske risikoen for problemer.
Tenk: Hva kan skje og hvordan kan vi forhindre det? Hvordan kan
vi minimere risikoen for menneskelige feil og stenge svindlere ute?
NSRs anbefalinger
Innfør jevnlig sikkerhetskopiering.
Ha rutiner for gjenopprettelse av data.
Øk ansattes sikkerhetsbevissthet via kurs og opplæring.
Gi økonomiarbeidere opplæring om sosial manipulering.
Virksomheten bør innføre rutiner ved overføringer av større beløp,
som gjør det vanskeligere for direktørsvindlere å lykkes.
Ansatte må kjenne sikkerhetsrutinene og forstå hvorfor de må følges.
Ha overvåkningssystemer for oppdagelse av hendelser.
Sørg for at antivirussystemer og loggføring er på plass.
Vær rask med å installere sikkerhets oppdateringer.
Ikke tildel sluttbrukere administrator rettigheter.
Blokker kjøring av ikke-autoriserte programmer.
Ha rutiner for å følge opp alarm er og logger.
Oppgrader program- og maskin vare.
Kilde: Mørketallsundersøkelsen 2016
Ekstern sikkerhetskopi: Sikkerhetskopi er
det viktigste og mest effektive forsvaret mot
løsepengevirus. Kopien må være ekstern eller
ha versjonskontroll, slik at man enkelt kan gå
tilbake dersom den nyeste filversjonen skulle
bli kryptert. Det er like viktig med sikkerhetskopi
av de ansattes datamaskiner som det er av
virksomhetens sentrale lagringssystemer. Test
løsningen, er det mulig å gjenopprette data?
30
Sikkerhet nr. 3 • 2017

Antivirus: Virksomhetens data må
beskyttes av gode brannmurer og antivirus,
både på servernivå og på den enkelte
maskin.
Antivirus vil ikke kunne beskytte dere
mot de nyeste eller de mest sofistikerte
truslene, men de fleste truslene man
utsettes for er heller ikke veldig nye eller
sofistikerte.
Trygt eller svindel? Lær de ansatte
til å lese epost kritisk, ikke klikke
på lenker eller utføre handlinger uten å
sjekke. Om en henvend else virker som
den prøver å manipulere ved å spille på
frykt, fristelser eller tillit, kan det være et
forsøk på å lure mottakeren. Ring personen
som skal ha sendt meldingen for
å finne ut om den er ekte og trygg.
Trenger håndbok i
informasjonssikkerhet
NorSIS og NSO anbefaler industrivernpliktige
virksomheter å ha en
håndbok samt overordnede retningslinjer
for informasjonssikkerhet i bedriften.
Håndboken kan være en egen
bok eller del av virksomhetens andre
rutineplanverk.
– Vi anbefaler virksomheter å
lage en håndbok for informasjonssikkerhet.
Dette gir ledere og ansatte
et styrende dokument for å ivareta
informasjonssikkerheten, sier seniorrådgiver
i NorSIS Vidar Sandland.
Direktør i NSO, Knut Oscar Gilje,
støtter Sandland.
– NSO håper alle virksomheter vurderer
hvordan dataangrep kan treffe
dem. Tiltakene for å unngå dette går i
stor grad på at hver og en av oss stopper
opp og vurderer forespørsler og
annen informasjon som kommer inn.
Bevissthet er med andre ord et stikkord.
Dette krever oppdatert kunnskap
og jevnlige påminnelser.
Håndboken kan gjerne deles inn i
kapitler:
• Sikkerhetsledelse: Hensikten er
å klargjøre viktige prinsipper og
tiltak alle ledere i virksomheten
skal ivareta. Hvilke risikoer finnes
og hva er rutinene ved en eventuell
hendelse?
• Personellsikkerhet: Legge til
rette for at ansatte, kontraktører
og tredje partsbrukere forstår sitt
ansvar og er egnet for rollen de har,
slik at risiko for tap, driftsforstyrrelser,
svindel og misbruk reduseres
til et akseptabelt nivå.
• Fysisk sikring: Målet er å forhindre
adgang til, skade på og forstyrrelser
av lokaler, IKT-systemer
og informasjon. Hvordan skal IKTutstyr
håndteres ved avhending?
• Behandling av informasjon: Sikre
integritet, tilgjengelighet og konfidensialitet
til informasjon som
behandles for å løse virksomhetens
oppgaver. Hvordan lagres og
utveksles informasjon?
• Teknisk sikkerhet: Sikre konfidensialitet,
integritet og tilgjengelighet
til alle driftsmessige og systemmessige
IKT-leveranser for virksomheten.
Se Norsk standard EN ISO/IEC
27002:2017 Informasjonsteknologi –
Sikringsteknikker – Tiltak for informasjonssikring
for mer informasjon.
NSO
Foto: Karoline K. Åbyholm, Cineberg, Brian A, Jackson, Macrovector (Shutterstock).
Sikkerhet nr. 3 • 2017 31

digitalisering
App sender epost: Alle ansatte kan bruke appen (t.h.) til å melde om feil og mangler. Appen
sender automatisk en rapport per epost til industrivernleder.
Skjermdump: Outlook og app
Firedoblet antall registrerte avvik
Digitale løsninger kan
hjelpe industrivernet.
Hos Returkraft har en app
styrket både forebygging
og beredskap.
Bruk av digitale hjelpe midler kan
være til god hjelp i bered skaps- og
sikker het sarbeidet. Siden
2013 har ansatte ved Returkraft
AS i Kristiansand benyttet
seg av en spesiallaget
app for å rapportere inn avvik,
forbedringsforslag og
nesten-hendelser.
– Vi ønsket å gjøre terskelen
for å rapportere inn
avvik lavere. Etter at vi
fikk appen gikk vi fra 40-
50 innrapporterte avvik i
året til 220. Dette synes vi
er kjempepositivt, forteller
industri vern leder og HMS- og
kvalitets leder Ketil Bergmann.
Alle de ansatte på virksomheten
får utdelt telefon ved ansettelse og får
Ketil Bergmann
industrivernleder
Foto: Eivind K. Dovik
opplæring i bruk av appen. Dersom
de oppdager noe som bør rapporteres,
kan de legge inn bilder, tekst
og beskrivelse. Det blir deretter generert
en epost som går til lederen
den ansatte rapporterer til og kopi til
industri vern leder.
– Vi har som policy at alle henvendelsene
skal bli fulgt opp, slik at
den som rapporter inn alltid skal få
vite hva som skal bli gjort,
hva som eventuelt ikke blir
gjort og en begrunnelse for
dette, sier Bergmann.
Lettere tilgjengelig
Han mener den store fordelen
med appen er at
verktøyet er lett tilgjengelig
for folk og at de ansatte kan
rapportere der og da mens
de husker det.
– Hvis man må finne et
skjema, fylle ut manuelt og
levere til riktig instans er terskelen
gjerne høyere enn dersom verktøyet
er på telefonen. Når alt går elektronisk
er det også enklere å lage statistikk.
På den måten er vi sikre at vi får
inn ting som folk typisk vil oppfatte
som småting, men som over tid vil
les es som trender på hvor det bør gjøres
endringer, sier Bergmann.
Flere tiltak
Han forteller at avviksstatistikken
foreløpig ikke har blitt brukt til å legge
opp øvelser, men at virksomheten
har gjort flere grep for å øke sikkerheten
i etterkant av app-lanseringen.
– Vi har satt opp flere fysiske tiltak,
sperringer og merking av utsatte områder.
I tillegg har vi fått et ekstra sett
med kjemikaliedresser på et strategisk
sted, fordi industri vernet meldte
at det var lurt å ha ekstra dresser her.
Erfaringene med avvikssystemet
ved Returkraft er entydig positivt.
– Ved at terskelen er lavere for å
melde fra, ser vi at vi får beskjeder
om såkalte småting som vi ikke fikk
tidligere. Appen har en kostnad ved
anskaffelse, men er billig i bruk og har
lav brukerterskel, så vi ser på dette
som en viktig investering, sier han.
• NSO
32
Sikkerhet nr. 3 • 2017

våre beste tips
Illustrasjon: Rawpixel.com/Shutterstock.com
Mange tap
kunne vært unngått
Norske virksomheter må styrke sin
evne til å oppdage og håndtere sikkerhetshendelser.
Styrk evnen til å
detektere angrep ved å ha overvåkningssystemer
for oppdagelse av hendelser
(Intrusion Detection System).
Sørg også for at antivirussystemer og
loggføring er på plass, og ha rutiner
for å følge opp alarmer og logger.
Mange norske virksomheter lider
økonomiske tap fra sikkerhetshendelser
som kunne vært unngått ved hjelp
av grunnleggende tiltak. Disse fire
tiltakene mot dataangrep kan stoppe
en stor del av angrepene mindre virksomheter
utsettes for:
• Oppgrader program- og maskinvare.
• Vær rask med å installere sikkerhetsoppdateringer.
• Ikke tildel sluttbrukere administratorrettigheter.
• Blokker kjøring av ikke-autoriserte
programmer.
Arne R. Simonsen
seniorrådgiver i
Næringslivets Sikkerhetsråd
Grunnprinsipper for
IKT-sikkerhet
Vi ser ofte at det mangler en rød
tråd i de prioriteringene toppledelsen
gjør og de sikringstiltakene som
iverksettes i IKT-systemer og i organisasjonen.
Forretnings- og IT-ledelse har en
krevende oppgave med å omsette
prioriteringer til riktige tiltak og med
å kommunisere et korrekt risikobilde.
Et godt råd er å benytte NSMs
Grunnprinsipper for IKT-sikkerhet
i arbeidet. Disse er nylig lansert og
beskriver både hva man bør gjøre
for å sikre et IKT-system og hvorfor
dette bør gjøres. De kan derfor være
til hjelp i kommunikasjonen mellom
øverste ledelse og de som implementerer
tiltak i virksomheten.
Hvis ett av tiltakene skal fremheves
er det: «3.2.1 Installer sikkerhetsoppdateringer
så fort som mulig».
De aller fleste cyberangrep utnytter
kjente sårbarheter
som oppdaterte
IKT-systemer er
beskyttet mot.
Bente Hoff
seksjonssjef
Forebyggende
IKT-sikkerhet,
NSM
Stopp – Tenk –Klikk
Alt for mange norske virksomheter
tenker digital sikkerhet først når de
blir svindlet eller hacket. Kom kjeltringene
i forkjøpet samt få bedre
nettvett ved å følge disse rådene:
• Hold operativsystem og programvaren
oppdatert.
• Benytt et oppdatert antivirusprogram.
• Ta jevnlig sikkerhetskopi.
• Ikke tildel sluttbrukere administratorrettigheter.
• Aktiver 2-trinns bekreftelse for
alle brukerkontoer på nett der det
er mulig.
• Lag en plan for hva som er sensitivt
og hvordan det skal beskyttes.
• Ha gode rutiner for avhending av
gammelt datautstyr, mobiler etc.
• Tenk over hva du deler på nett.
• Ta ansvar: Vær åpen om hendelser.
• Tenk før du klikker.
• Unngå å falle for fristelser.
Besøk Nettvett.no for
flere gode råd.
Vidar Sandland
seniorrådgiver i
Norsk senter for
informasjonssikkerhet
(NorSIS)
Sikkerhet nr. 3 • 2017 33

digitalisering
Nasjonal sikkerhetsmåned i oktober
Norsk senter for informasjonssikring
(NorSIS) oppfordrer virksomheter til
å være med på et nasjonalt løft for en
trygg digital hverdag. I oktober er det
«Nasjonal sikkerhetsmåned», en årlig
kampanje for økt kunnskap om informasjonssikkerhet.
NorSIS oppfordrer alle virksomheter
til å gjennomføre opplæring
av de ansatte i oktober, og beskriver
kampanjen slik:
«Nasjonal sikkerhetsmåned er en
nasjonal dugnad og arena som samler
næringsliv, det offentlige og akademia
om et felles mål for en tryggere og
sikrere digital hverdag for alle. Samfunnet
nasjonalt og internasjonalt
digital iseres, noe som gir økt verdiskapning
og effektivisering.
Digitaliseringen medfører nye
bransjer, nye vaner, omstilling av
kjente samfunnsfunksjoner, og et mer
komplisert trusselbilde å forholde
seg til. Vi blir alle berørt, både som
privat personer og i jobb.
Nasjonal Sikkerhetsmåned er et
viktig bidrag for å øke bevisstheten
rundt informasjonssikkerhet og forebygge
datakriminalitet. Kunnskap er
ferskvare – og derfor er sikkerhetsmåneden
like aktuell i år.»
Målgruppen for kampanjen er alle
typer virksomheter i Norge som vil
lære mer om hvordan de kan forebygge
og møte dagens trusselbilde med
riktige tiltak.
Kampanjen blir markert med arrangementer
og møter i Oslo, Bergen,
Gjøvik og Lillehammer, og Nasjonal
sikkerhetsdag blir markert i Lillesand
tirsdag 10. oktober.
Du kan lese mer om Nasjonal sikkerhetsmåned
på sikkert.no NSO
34
Sikkerhet nr. 3 • 2017

Noen av mange: Hackerangrepene øker både i omfang og styrke. Motivene er høyst forskjellige og konsekvensene kan være store.
Faksimiler: Aftenposten, Reuters, The Guardian, BBC, The New York Times
Store og kostbare angrep
Koster verden 3,8 billioner
kroner årlig.
tekst: Karoline K. Åbyholm
I mai ble verden nok en gang rammet
av et omfattende dataangrep. Det
såkalte WannaCry-angrepet infiserte
over 230.000 datamaskiner i over 150
land, deriblant hotellkjeden Nordic
Choice Hotels og flere eliteserieklubber
i Norge. Angriperne skal ha låst
PC-er og bedt brukerne om løsepenger
for å frigi tilgang til datamaskinen
og filene igjen.
Alvorlige angrep
Ifølge tall fra Nasjonal sikkerhetsmyndighet
(NSM) skal norske myndigheter
ha avslørt mer enn 22.000
dataangrep mot norske bedrifter og
offentlige etater i 2016. Det er en økning
på 10 prosent fra året før. Til
sammenligning hevder Försvarets
Radioanstalt i Sverige at tallet mot
svenske bedrifter og etater er over
100.000 angrep i 2016.
NSM forteller til NRK at 5.000 av
angrepene i fjor skal ha vært så alvorlige
at de ble fulgt opp manuelt med
analyse og rettende tiltak. Økningen
her er på 15 prosent på ett år.
Kostbare angrep
Det er store utgifter knyttet til dataangrep,
og ifølge E24, som siterer en
rapport fra Center for Strategic and
International Studies, skal dataangrep
koste verden drøyt 3.800 milliarder
kroner årlig.
Angrepene øker både i styrke og
omfang, og FBIs tidligere datakrimdirektør
Jim Trainor anslår til E24
at dataangrep vil kunne koste hele
17.000 milliarder kroner om tre år.
Produktivitetstap
NSM gjorde i 2012, på bakgrunn av
en engelsk undersøkelse, et grovt estimat
som anslo kostnadene knyttet
til internettkriminalitet i Norge. NRK
skrev at dette estimatet viser at norsk
næringsliv tapte 20 milliarder kroner,
og mange bedrifter vet ikke engang at
de er blitt rammet.
I Mørketallsundersøkelsen 2016
melder 4 av 10 virksomheter at de har
hatt produktivitetstap i forbindelse
med uønskede sikkerhetshendelser (i
form av tapte arbeidstimer), men kun
2 av 10 oppgir at de har hatt kostnader
som følge av slike hendelser.
Sikkerhet nr. 3 • 2017 35

digitalisering
Noen av de verste dataangrepene
Dataangrep rammer selskaper og land over
hele verden. Dette er noen av de største dataangrepene
de siste årene:
Mål: Demokratpartiet i USA
Hva: Under innspurten av valgkampen i USA høsten 2016, ba hackere –
forkledd som en tjenestetilbyder på internett – medarbeidere i Hillary Clinton-kampanjen
om å skifte passord. Hackerne får tilgang på 60.000 eposter
som ble publisert midt i valgkampen. Anonyme etterretningskilder mente
Russlands president Vladimir Putin var direkte involvert.
Konsekvenser: Det ble spekulert i om Russland gjennomførte angrepet
som en del av en vendetta mot Clinton, etter at hun stilte spørsmål ved
gjennomføringen av valget i Russland i 2011. CIA skal ha konkludert i en
rapport at Russland forstyrret valget i USA og at målet var å hjelpe Trump
til seier.
Mål: Advokatfirmaet Mossack Fonseca
Hva: 3. april 2016 var det en lekkasje av dokumenter fra advokatfirmaet
Mossack Fonseca, kalt «Panama Papers». Omtrent 11,5 millioner dokumenter
viste angivelig at advokatfirmaet hadde bistått et stort antall rike
og kjente personer verden over i plassering av penger og eierskap i såkalte
skatteparadiser. Dokumentene navngir over 500 banker, 214.000 virksomheter
og flere statsoverhoder, politikere og milliardærer, inkludert rundt 200
norske kunder. Blant annet skal DNB ha lagt til rette for bankkunder som
ønsket å plassere penger i Seychellene med mulighet for å skjule dem for
norske myndigheter og dermed unngå å betale skatt.
Det har ikke blitt gjort kjent hvordan dokumentene har blitt skaffet til
veie, men Mossack Fonseca har omtalt det som et datainnbrudd.
Konsekvenser: Islands daværende statsminister Sigmundur Davíð Gunnlaugsson
og to av hans regjeringsmedlemmer investerte i selskaper i skatteparadiser,
samtidig som statsministeren tordnet mot grådige utenlandske
selskaper under finanskrisen i landet. Gunnlaugsson gikk av som statsminister
i april 2016 som følge av avsløringene.
Over hundre mediehus i hele verden samarbeidet om å strukturere dataene
og etterforske stater, personer og selskap offentliggjort i de lekkede
dokumentene. Flere av sakene førte til politietter forskning, arrestasjoner og
fengselsdommer.
Mål: Emmanuel Macrons politiske bevegelse En Marche!
Hva: Natt til lørdag 6. mai 2017 – to dager før det franske president valget
– ble sentrumskandidaten Emmanuel Macrons politiske bevegelse En Marche!
rammet av et dataangrep. Ifølge WikiLeaks ble flere titusener av eposter,
foto og vedlegg datert fram til 24. april publisert, i alt 9 gigabytes med
informasjon. Ifølge En Marche! ble deres interne dokumenter blandet med
falske dokumenter for å spre feilinformasjon og tvil.
Konsekvenser: Macrons rådgivere sa at noe lignende aldri før hadde
skjedd før et fransk valg og at hensikten er å skade demokratiet, slik det var
under valget i USA. Macron endte med å vinne presidentvalget over den
konservative motstanderen Marine Le Pen.
Mål: Sony Pictures
Hva: Filmstudioet Sony opplevde
24. november 2014 at hackere lekket
blant annet konfidensiell informasjon
om Sonys ansatte, epost-korrespondanse
mellom de ansatte og kopier av
upubliserte spillefilmer fra selskapet.
Hackergruppen kalte seg «Guardians
of Peace» (GOP). Amerikanske myndigheter
hevdet at Nord-Korea sto bak
angrepet, noe myndighetene i landet
nektet.
Konsekvenser: GOP krevde at Sony
skulle la være å lansere komedien «The
interview», som handler om en talkshowvert
som hyres av CIA for å drepe
Nord-Koreas leder. Hack er-gruppen
truet med terroristangrep mot kinoene
som viste filmen, noe som førte til
at flere kinoer nektet å vise filmen. Sony
lanserte filmen for online-leie og kjøp
24. desember, og filmen hadde kinopremiere
på kun utvalgte kinoer i USA.
Mål: Bank of Bangladesh
Hva: I februar 2016 skjedde det et angrep
på sentralbanken i Bangladesh. Det
ble forsøkt overført 951 millioner dollar
til fiktive bankkontoer. Mistanken rettet
seg blant annet mot åtte tjenestemenn
som skal ha jobbet med utenlandsoverføringer
for banken. Flere av disse
skal nemlig ha fått kjennskap til en svikt
i datasystemet dagen etter innbruddet,
uten å rapportere det videre, ifølge
en ikke-navngitt kilde til nyhetsbyrået
Bloomberg.
Security-folk har senere linket angrepet
til en serie med elleve andre lignende
angrep, og kaller gruppen «Lazarus».
Det antas også at denne gruppen var
ansvarlig for Sony-hackingen i 2014.
Konsekvenser: Hackerne klarte å gjennomføre
transaksjoner på tilsammen
101 millioner dollar, hvorav 38 millioner
dollar ble tilbakebetalt.
Banken skal, ifølge finansminister
Abul Maal A. Muhith, ikke ha informert
regjeringen, og høstet kritikk for dette.
Ministeren kalte blant annet sin egen
sentralbank for «inkompetent».
36
Sikkerhet nr. 3 • 2017
Kilder: E24, Wikipedia, CNN, BBC, Bloomberg, New York Times, Aftenposten, VG, SVT.se, Business.dk

Mål: Windows-maskiner
Hva: Viruset WannaCry er verdens hittil største
dataangrep mot private og offentlige data maskiner.
WannaCry er et såkalt løsepengevirus, som låser
eller krypterer hele eller deler av innholdet på
data maskinen. Det spres for eksempel via vedlegg
i epost, Word-filer eller via infiserte nettsider. Målet
med viruset var å få brukeren til å betale løsepenger
til angriperen. Hackerne skal ha krevd 300 dollar (tilsvarende
2.600 kroner) for å låse opp datasystemer
de har tatt kontroll over.
Konsekvenser: Over 230.000 Windows-maskiner
i over 150 land ble infisert. Blant de verst rammede
var helsevesenet i England og Skottland, skriver
BBC. Tre norske virksomheter meldte til NSM at de
ble rammet, deriblant hotellkjeden Choice.
Mål: Teknologiselskapet Yahoo! Inc
Hva: I 2013 kom brukerinformasjon til over en
milliard Yahoo!-brukere på avveie. Den stjålne informasjon
fra de berørte kontoene er antatt å inneholde
navn, epostadresser, telefonnumre, bursdags
datoer, samt sikkerhetsspørsmålet og svar.
Selskapet ble også hacket året etter, og da kom
brukerinformasjonen til 500 millioner brukere på
avveie.
Konsekvenser: Angrepet ble omtalt som ett
av de største datainnbruddene noensinne. Alle
Yahoo!-brukerne måtte bytte passord.
Selskapet fikk kritikk for å ikke ha tatt securitytrusler
på alvor tidligere, og kritikere mente at selskapet
ikke holdt samme sikkerhetsnivå som andre
store internasjonale selskap.
Mål: Strømselskaper i Ukraina
Hva: Angrepet rammet minst to forskjellige
strømselskaper i det vestlige Ukraina samtidig i desember
2015. Mye tyder på at de russiske hackere i
den beryktede gruppen Sandworm var ansvarlig
for angrepet. Hackerne skal først ha gjort innbrudd
i systemene som styrer strøm produk sjonen, for deretter
å «blinde» styringssystemet slik at selskapene
ikke kunne styre strømnettet. Serverne og datamaskinene
til strømselskapene ble skadet slik at de ikke
kunne gjenopprette nettet og løse feilen. Kundetelefonsentralene
til strømselskapene ble angrepet
og slått ut. Det skjedde ved at sentral bordene ble
nedringt av flere tusen falske telefonsamtaler, slik
at de ekte kundene ikke klarte å varsle om hva som
skjedde.
Konsekvenser: Minst 30 transformatorstasjoner
ble slått ut, og over 80.000 husstander, bedrifter og
ulike virksomheter ble rammet.
Kan ha tapt milliarder
IT-systemene til danske Maersk var nede i
flere uker.
Det danske rederiet A.P. Møller-Maersk bekreftet tirsdag 27. juni
i år at de ble rammet av et hackerangrep. Rederiet og store selskaper
som den russiske oljeprodusenten Rosneft og et av verdens
største reklamebyråer, engelske WPP, ble rammet samtidig.
Virus på IT-systemet
Et virus kalt Petya spredte seg på Maersk sitt IT-system, hvilket
medførte at de ikke kunne ta imot nye ordre. Konsernets havneterminaler
kunne heller ikke flytte last fra eksisterende ordre
over på skip, meldte danske medier. Selskapet hadde derfor ingen
oversikt over hvor de ulike containerne var i verden.
Styringssystemene til skipene ble ikke berørt og containerfraktskipene
kunne kommunisere. En talsmann i Maersk opplyste
til Business.dk at ingen ansatte i selskapet var skadet og at
mannskapene var trygge.
En milliard om dagen
Angrepet gjorde at selskapet ble tvunget til å lukke flere havner
og begrense kundenes mulighet til å booke plass på Maersk Lines
skip. Ifølge business.dk mottar rederiet normalt 3.300 bookinger
på containere, tilsvarende en omsetning på rundt 40 millioner
danske kroner i timen, eller en milliard danske kroner om dagen.
Maersk valgte å holde IT-systemene nede til de fikk mer oversikt
over situasjonen. I midten av juli ble det meldt at IT-systemene
var nære ved å være tilbake til normalen.
Har gjort tiltak
Omlag en måned senere kom det frem av Maersk sitt halvårsregnskap
at de regnet med at de samlede utgiftene i forbindelse
med angrepet kunne løpe opp i nesten 2 milliarder DKK.
– I siste uke i forrige kvartal ble vi rammet av et hackerangrep.
Volumer ble negativt påvirket i et par uker i juli, og som konsekvens
vil Q3-resultatet bli påvirket. Vi forventer at cyberangrepet
vil påvirke resultatet negativt med 200-300 millioner USD, sier
Maersk-toppsjef Søren Skou i en kommentar til regnskapet.
Ifølge business.dk opplyste selskapet samtidig at det har høynet
sin IT-sikkerhet og implementert ytterligere tiltak som skal
forhindre lignende angrep i fremtiden.
– Tenk på konsekvensene
– Selv om verdiene Maersk håndterer er større enn den gjennomsnittlige
industri vern-virksomhet, er det mye å lære av denne
hendelsen, sier direktør i NSO, Knut Oscar Gilje, som også
roser Maersk for deres åpenhet om denne saken.
Han oppfordrer virksomheter til å tenke gjennom hvor
lenge de kan være uten tilgang til internett og fortsatt holde
produksjon en i gang og for å få inn og ut ordre.
– En del virksomheter vil kanskje mene de kan klare seg lenge
uten nettforbindelse. Likevel vil det både være nyttig og nødvendig
å tenke gjennom mulige konsekvenser av dette på forhånd,
og tilpasse egenbered skapen og tiltak etter dette, mener han.
• NSO
Sikkerhet nr. 3 • 2017 37

digitalisering
Følger du med
i timen?
Norge er verdens mest digitaliserte
land, men vi mangler spiss ­
kompetanse.
UNDERVURDERER KOSTNADENE: Virksomheter mangler oversikt over hva sikkerhetshendelsene koster dem, eller undervurderer disse
kostnadene, mener direktør i Næringslivets Sikkerhetsråd.
Foto: lolloj/Shutterstock.com
Mange virksomheter har erfart at når
den digitale trusselen slår til, kan den
ramme hardt. I NSRs Mørketallsundersøkelse
2016 fremkommer det
at over en fjerdedel av norske virksomheter
har opplevd uønskede sikkerhetshendelser
det siste året.
Undervurderer kostnadene
Virksomhetene forteller at dette fører
til produktivitetstap i 4 av 10 tilfeller (i
form av tapte arbeidstimer), men kun
2 av 10 oppgir at de har hatt kostnader
som følge av slike hendelser. Dette
viser at virksomhetene mangler oversikt
over hva sikkerhetshendelsene
koster dem, eller undervurderer disse
kostnadene. Mange virksomheter ser
på sikkerhet som en kostnad, men det
kan like gjerne være en investering.
NSM uttrykte under sin konferanse
tidligere i år, bekymring for at små
virksomheter ofte er mål for store angripere.
De bruker de små virksomhetene
som «brohoder» inn mot større
virksomheter. De små virksomhetene
er sårbare og vil sannsynligvis ikke
kunne stå imot angrepene.
Økonomisk svindel
Mange virksomheter har en lav
oppdagelsesevne av digitale sikkerhetshendelser.
Det er også ofte en
manglende forståelse for hvilke konsekvenser
en slik hendelse kan få. En
ting er de direkte konsekvensene av
at systemer blir slått ut, men kanskje
like alvorlig er tapene av informasjon
som ikke blir avdekket og unyttet av
konkurrenter. I tillegg registrerer vi
en økende trend til økonomisk svindel
ved hjelp av digitale kanaler.
Det er viktig at virksomhetene tilbyr
de ansatte en grunnopplæring i
IT-sikkerhet. Én av ti virksomheter
rapporterte om uønskede sikkerhetshendelser
som følge av virksomhetens
ansatte. Vi kan derfor ikke utelukkende
satse på at systemene passer
på seg selv.
Den digitale utviklingen går fort og
risikobildet endres seg raskt, så følg
med i timen!
Jack Fischer
Eriksen
Direktør i
Nærings livets
Sikkerhetsråd
38
Sikkerhet nr. 3 • 2017

Valgte åpenhet etter dataangrep
I minst én uke hadde
uvedkommende adgang
til Ulstein Group sine
datafiler.
tekst: Karoline K. Åbyholm
Få dager før påskeferien 2014 oppdaget
en IT-ansatt hos Ulstein Group
noe uventet: En Microsoft Exchange
Server var i ferd med å fylles av filer for
andre gang på kort tid. Den
første gangen det skjedde
ryddet IT-avdelingen på
serveren, men nå begynte
trafikken å bli mistenkelig.
På serveren oppdaget de at
det var lagret krypterte filarkiv
med ukjent innhold,
og filene var på vei ut av
virksomheten. De slo alarm
og stengte alle systemer.
Ansatte fikk beskjed om
at det var IT-problemer,
konsulenter ble hentet inn og Nasjonal
sikkerhetsmyndighet (NSM) bisto
i granskningen av det som skulle
vise seg å være en alvorlig sikkerhetshendelse.
Den første uken kunne de
ikke fortelle de ansatte noe, for det var
fortsatt uavklart om angriperen var
en utro tjener eller en ekstern trusselaktør.
Kunne ikke bruke epost
Før angrepets omfang var kjent kunne
de heller ikke bruke noen av virksomhetens
potensielt kompromitterte
systemer, inkludert epost. De som var
Torild Bugge
Foto: Ulstein Group
involvert i hendelseshåndteringen
holdt kontakten på SMS til de følte
seg sikre på at inntrengeren var kastet
ut av systemet.
NSM klarte å dekryptere en komprimert
fil som ikke var blitt sendt ut.
Den inneholdt filer relatert til virksomhetens
innovasjonsprosjekter.
I minst én uke hadde uvedkommende
adgang til konsernets datafiler.
HR-direktør og sikkerhetsansvarlig
i Ulstein Group, Torild Bugge, uttalte
den gang følgende til
Aften posten:
– Vi ble utsatt for et avansert,
målrettet angrep
utført av aktører med store
ressurser.
Anmeldte hendelsen
Rundt 500 gigabyte ble
stjålet, og bedriftshemmeligheter
kan ha kommet
på avveie. Etterforskningen
avdekket kinesiske tegn, og
NSM konkluderte med at datakraften
som ble brukt og angrepets kompleksitet
tydet på at dette var et rettet angrep
fra en avansert trusselaktør.
Etter råd fra Politiets sikkerhetstjeneste
(PST), som ble involvert da
det oppsto mistanke om angrep fra
en annen stat, valgte Ulstein å anmelde
hendelsen og kontakte media.
Anmeldelsen ble henlagt etter et år,
men Ulstein mottok ros for sin åpenhet
om angrepet og er glade for at de
valgte å stå fram.
– Vi hadde interne diskusjoner på
om vi skulle si noe i media, men vi
bestemte oss til slutt for å være åpne
om dette. Det har vi mottatt bare positive
tilbakemeldinger på i ettertid,
sier Bugge til Sikkerhet.
– Bedre rustet
Over tre år etter hendelsen forteller
HR-direktør og ansvarlig for informasjonssikkerhet
Bugge at virksomheten
har endret tankemåte og tatt
flere grep.
– Vi har mye større bevissthet på
informasjonssikkerhet og på en annen
måte enn tidligere. Det har blitt
tatt verdivurderinger på hva av informasjonen
vår som vi må sikre spesifikt,
sier hun.
Hun sier at virksomheten har valgt
å gjøre de ansatte mer bevisste på sikkerhetsgraderinger
på blant annet dokumenter.
– Vi har mistet litt illusjonen om
at vi kan sikre informasjonen vår
kun gjennom brannmurer, og vi har
investert i programmer og systemer
som tilbyr gode sikkerhetssystemer.
Der har de ansatte mulighet til å legge
inn sikkerhetsgraderinger på dokumenter.
– Er dere redde for at noe lignende
skal skje igjen?
– Vi er ikke blitt helt paranoide,
men vi er realistiske. Nå håndterer vi
informasjonssikkerhet på en annen
måte enn tidligere, og vi står bedre
rustet til å håndtere en lignende hendelse.
Vi har vært åpne både internt og
eksternt. Dette har gjort at vi har møtt
stor forståelse blant de ansatte og andre
rundt, sier hun.
Sikkerhet nr. 3 • 2017 39

digitalisering
– Dataangrep kan ramme alle
Klar melding fra Kripos:
Ingen er hundre
prosent beskyttet
mot data angrep.
tekst: Karoline K. Åbyholm
Seksjonsleder for seksjon for
datakrimetter forskning i Kripos, Håvard
Andre Aalmo, oppfordrer virksomheter
til å melde fra om dataangrep.
– Mange virksomheter vil ikke anmelde
dataangrep fordi de er redde for
at det kan påvirke omdømmet deres.
I tillegg er det dessverre slik at mange
opplever at politiet ofte henlegger saker.
Men flere dataangrep-saker har
gitt domfellelse, så det er ikke håpløst.
For at politiet skal kunne gjøre en
bedre jobb med å bekjempe dataangrep
er vi avhengig av at virksomhetene
anmelder, sier Aalmo.
Han er samtidig tydelig på at politiet
trenger mer kunnskap om dette
temaet.
– Både kompetanse og kapasitet for
å håndtere dataangrep må bli bedre
ute i politidistriktene. For å få til dette
er vi avhengig av å bli mer kjent med
tilfellene som finnes. Da kan vi også
si noe om tendenser og generelt omfang.
Må sikre digitale spor
– Seksjon for datakrimetter forskning
sin rolle er å bidra til å forebygge,
etter forske, drive folkeopplysning og
iverksette tiltak som kan forhindre
dataangrep. Det er bare unntaksvis at
vi rykker ut, men vi bistår lokalt dersom
det foreligger en anmeldelse og
det er behov for det, sier Aalmo.
I tilfellene hvor Kripos rykker ut
hjelper de virksomheter og privatpersoner
å finne ut hva som har
skjedd.
– Jobben vår går ut på å sikre bevismateriale
og sjekke om man kan få
informasjon og data ut fra for eksempel
harddisker eller andre lagringsmedier.
Ofte går jobben vår ut på å
finne ut om det har skjedd noe, hva
som har skjedd og om man kan finne
gjerningspersonene, sier han.
Aalmo sier at Kripos ser at sporsikring
er avgjørende i den innledende
delen av en etter forskning, og det
betyr derfor mye at de ansatte i virksomheten
har kjennskap til hvordan
man kan sikre logger og annet relevant
bevismateriale før en anmeldelse
er inngitt.
– Når det er gjort innbrudd på en
pengesafe er det tydelig hvor startstedet
er og hva som er stjålet. Men
med data er ikke dette like tydelig.
Kunnskap om hvordan man sikrer
digitale spor og hvor man skal lete er
viktig for å oppklare slike saker, sier
han.
– Alle er utsatt
Fordi bakgrunnen for dataangrep kan
være alt fra ren vandalisme til datatyveri
til politisk motivert aktivisme,
40
Sikkerhet nr. 3 • 2017

Dette sier loven
Dette er straffebestemmelsene
som blant annet er brukt innenfor
fagområdet datakriminalitet:
• Uberettiget befatning med
tilgangsdata, dataprogram
(skadelig programvare) – Straffeloven
§ 201
• Identitetskrenkelse (besittelse
av annens identitetsbevis eller
opptrådt med annens identitet)
– Strl. § 202
• Datainnbrudd – Strl. §§
204,205 bokstav b
• Dataskadeverk (omfatter også
DDOS/tjenestenektangrep)
– Strl. §§351, 352 første og
andre ledd
• Driftshindring – Strl. § 206
• Databedrageri – Strl. 371, 372
• Heleri – Strl. §§ 332, 333, 338
• Også i kombinasjon med andre
bestemmelser – som for eksempel
Utroskap – Strl. § 390/391
Anmeld alt alltid: Seksjonsleder Håvard Andre Aalmo i Kripos anbefaler alle som har
vært utsatt for dataangrep og misbruk av data om å anmelde forholdet til politiet
Foto: Lagarto Film/Shutterstock.com
mener Aalmo alle virksomheter i
Norge kan rammes.
– Så lenge noen har grunn til å angripe
deg er du utsatt. I tillegg har du
de ikke-målrettede angrepene, for eksempel
epostsvindel eller løsepengevirus
hvor hackerne får kontroll over
filene dine. Dette er angrep som kan
ramme de fleste.
– Hvor mange virksomheter i Norge
blir hvert år rammet av dataangrep?
– Mørketallene er store når det gjelder
datakriminalitet, og det er derfor
vanskelig å gi noen god statistikk over
omfanget. Det er derfor viktig at sakene
anmeldes til politiet. En del av
utfordringen er at dagens kodeverk
i politiet medfører at det ikke er entydig
å se om en straffesak omfatter
datakriminalitet eller ikke. Det jobbes
nå med å få bedre statistikkverktøy på
plass slik at man lettere kan hente ut
slike tall i framtiden, sier Aalmo.
Håvard AndrE
Aalmo
Sikre egen informasjon
– Hva forventer KRIPOS at virksomhetene
skal ha på plass for å
sikre seg mot dataangrep?
– På samme måte som
man i gamle dager forventet
at folk låste døra si for å
hindre innbrudd, så forventer
vi i dag at folk gjør
grunnleggende grep for
å beskytte seg mot dataangrep.
Vi anbefaler å sørge
for at man har beskyttelse av
sine datasystemer, brannmurer,
viruskontroll og har backup,
sier han.
Han understreker at videre krav og
forventninger kommer an på hvilken
bransje og hva slags virksomhet det er
snakk om.
– Noen jobber med hemmelighetsstemplede
ting, mens andre har et
lavere sikkerhetskrav, men felles for
alle type virksomheter er at deres
egen informasjon er kritisk for deres
egen virksomhet. Det som går igjen
og vi ofte hører når det skjer noe er:
«Oj, det hadde jeg ikke tenkt på». Det
handler om sikring av egen
informasjon og det å ha et
bevisst forhold til hvordan
man lagrer og har backup
av kritisk informasjon. Vi
gir de samme rådene til
både store og små virksomheter,
siden konsekvensene
i bunn og grunn er de
samme: De ansatte får ikke
gjort det de skal gjøre.
Kan skje den beste
Bedrifter investerer kanskje i dyre sikkerhetssystemer,
men det er like viktig
å sørge for at de ansatte har gode
rutiner. Aalmo tror mye av nøkkelen
ligger i om og hvordan man øker bevisstheten
til den enkelte bruker.
– De aller fleste virusangrep vi hører
om og får anmeldelser på, starter
ofte med at noen har trykket på et
vedlegg eller en virusinfisert-lenke i
en epost. Det må folk bli oppmerksomme
på, for det kan skje den beste,
sier Aalmo.
Sikkerhet nr. 3 • 2017 41

digitalisering
Stor industripark: I alt 40 virksomheter har sitt
tilholdssted i Kongsberg teknologipark.
42
Sikkerhet nr. 3 • 2017

– Vi må kunne
gjøre alt uten IKT
I Kongsberg teknologipark er ledelsen forberedt på
det meste, også å måtte klare seg uten strøm og IKT.
tekst og foto: Ingeborg Altern
Kongsberg Teknologipark AS
(KTP) drifter all infrastruktur
i parken som huser om lag førti
virksomheter hvorav ti er industrivernpliktige.
– Vi tilbyr bunkere til servere og
linjer inn og ut, men bedriftene drifter
sine egne IKT-system, forteller
Jørn Antonsen. Han er leder for informasjons-
og kommunikasjonsteknologi
(IKT) i teknologiparken og er
innsats leder for det samme området i
parkens bered skapsorganisering.
– Vi følger likhetsprinsippet i
bered skapsarbeidet, så folk har
samme rolle i kriser som i det daglige,
forteller industri vern leder Willy
Amundsen. I bedriften har han tittelen
«leder sikkerhet & kundeservice».
Beredskap for hele parken
De ti industri vernpliktige virksomhet
ene og KTP har til sammen 30
industri vernere fordelt på stab og fire
innsatslag. I tillegg består parkens
egenbered skap av innsats ledere med
ansvar for henholdsvis IKT, orden og
sikring, drift, leietaker og kraftforsyning/elektro.
Disse er tilgjengelige for
redningsstaben og nødetatene.
– De andre ansvarsområdene er avhengig
av at IKT og elektro fungerer.
Ved en husbrann rett ved parken var
det en enorm røykutvikling. Driftsansvarlig
kunne da sitte hjemme og
fjernstyre ventilasjonen på de nærmeste
byggene slik at de ikke fikk
røykskader, forteller Amundsen.
– Vi har gjort tiltak med blant annet
to-faktor-identifisering som gir
sikker tilgang til våre systemer, understreker
Antonsen.
Dessuten er det ikke alt som er
digi talisert:
– Vi har tenkt nøye gjennom hva
som skal kunne fjernstyres, sier Kjetil
Haugen, leder og innsats leder for
elektro.
Og nettopp gjennomtenkte løsning
er går igjen i alt KTP gjør.
– I ROS-analysen må vi tenke det
utenkelige, hva kan skje? Og hva må
til for å kunne holde produksjonen i
gang om det utenkelige faktisk skjer,
understreker administrerende direktør
og leder i redningsstaben, Johnny
Løcka.
Kraftforsyning
Med omsetningskonsesjon må KTP
forholde seg til forskrift om beredskap
i kraftforsyningen i tillegg til
andre krav.
KTP har nødaggregat og nok diesel
til å forsyne de viktigste delene av
park en med strøm i uker, slik som
Sikkerhet nr. 3 • 2017 43

digitalisering
«Vi forsøker å eliminere muligheten for
menneskelige feil.»
Johnny Løcka,
administrerende direktør
kjøling i serverbunkerne. Dermed ligger
det meste til rette for at IKT kan holdes
i drift under en krise. De har også
mulighet til å avstenge deler av anlegget
ved behov, dette har også skjedd.
– Vi må ikke gjøre oss så sårbare hvis
ting ikke virker, vi kan ikke være avhengige
av IKT, understreker Amundsen.
Administrerende direktør Løcka har
tiltro til mannskapet sitt:
–Selv om oppgavene er langt enklere
med IKT, så vil vi klare å levere uten i en
periode. Og om planverket ikke skulle
være tilgjengelig verken digitalt eller på
papir, vil våre folk gjøre det de skal fordi
de kan jobbene sine og har øvd.
Fjerner menneskelige feil
KTP har ansvar for både den fysiske og
den digitale infrastrukturen for alle i
parken.
– Kundene våre aksepterer ikke
driftsstans. Vi har sett en markant endring
i kravene til leveranse, men folk må
være villig til å betale, sikkerhet har en
pris, understreker Løcka.
Og prisen er ikke bare økonomisk.
Antonsen nevner en rekke begrensninger
for deres ansatte:
– Våre medarbeidere har ikke adminrettigheter
på sin jobb-PC, så de kan
ikke installere noe. Det er ikke mulig
å bruke skytjenester eller sosiale kommunikasjonstjenester,
og en rekke nettsteder
er sperret. Hvis man klikker på en
lenke i en epost er denne sperret, men
man kan kopiere lenkeadressen og lime
den inn i ekstern nettleser. USB-portene
er deaktivert, de kan kun brukes til lading
og ikke filoverføring.
– Vi forsøker å eliminere muligheten
for menneskelige feil, sier Løcka.
– Sikkerhetstiltakene gjør det litt mer
tungvint, men alle forstår og aksepterer
dem, forteller Haugen.
Mobiltelefon med begrensninger
Tidligere var det forbudt med kameratelefoner
inne i teknologiparken, men
nå er de standard som ellers i samfunnet.
– Velger vi å la folk bruke mobiltelefon
må vi gjøre tiltak, understreker
Haugen.
Det er fotoforbud i parken, og mobiltelefonene
de ansatte får er KTPs eiendom.
– Med Mobile Device Management
kan vi slette innholdet på mobiltelefon
via fjernstyring. Mobiler må være registrert
i vårt system for at brukeren skal
få tilgang til sin epost på dem, forteller
Antonsen.
Alle filer blir lagret på en intern server,
men de ansatte kan ikke bruke mobilen
for å få tilgang til dokumenter, og
selv når de sitter på sin jobb-PC får de
bare tilgang til de filene som er relevante
for dem.
Både epost og servere skannes for virus,
men om et kidnappingsvirus skulle
klare å snike seg forbi alle sikkerhetstiltakene
ville det ikke klare å gjøre stor
skade: KTP har sikkerhetskopi av alt.
Kommunikasjon i mange kanaler
Industrivernet og de andre ansatte har
mange måter å kommunisere på. Som
Kongsberg
teknologipark
Næringspark med 40 virksomheter,
av dem er 10 industrivernpliktige.
Bygningsmassen er 300 mål.
Selve teknologiparken er på
500 mål. I tillegg kommer
«Arsenalet» på 230 mål.
6.500 ansatte, 30 av disse er
i industri vernet hvorav 23 av
disse er røyk , gass og kjemikaliedykkere.
Med støttefunksjonene
har de ressurser tilsvarende
rundt det dobbelte.
Industrivernpliktige siden
1938. Ble etablert da sølvverksindustrien
hadde en
dårlig periode, og startet
opprinnelig som Kongsberg
Våpenfabrikk i 1814. Selskapet
var 100 prosent statseid fram
til 1987.
44
Sikkerhet nr. 3 • 2017

Holder inntrengere ute: Kjetil Haugen (leder/innsatsleder Elektro), Jørn Antonsen (leder/innsatsleder IKT KTP), Johnny Løcka (administrerende
direktør/leder redningsstab KTP) og Willy Amundsen (leder sikkerhet/beredskapsleder og industrivernleder) har både fysiske og
digitale stengsler som beskytter virksomhetene i Kongsberg teknologipark.
reservestyrke for det lokale brannvesenet
fikk industri vernet tidlig tilgang
til Nødnettet, og alle innsats ledere
har hver sin radio.
– Vi har også fasttelefon, mobiltelefon,
satellittelefon, UHF-radio
og VHF-radio, så vi skal alltid klare
å snakke sammen, forteller industrivernleder
Amundsen.
Ved alarm varsles industri vernet
via personsøkere. Løsningen driftes
internt og senderne står sentralt i teknologiparken.
Forklaringen på at den
moderne teknologiparken bruker så
gammel teknologi er klar:
– Vi vil ha enkle løsninger som virker
sier Løcka, og Haugen legger til:
– Og som har lav sikkerhetsrisiko.
Som medlemmer i Kraftforsyningens
bered skapsorganisasjon har KTP
rett til såkalte prioriterte mobilabonnement.
Det betyr at om standardnettet
er nede, skal mobilen automatisk
skifte til et annet nett som
fungerer, selv om det tilhører en konkurrerende
mobiloperatør. Prioriterte
virksomheter kan søke om å få slike
abonnement.
Overvåker
Gjerdet rundt Kongsberg teknologipark
er ikke veldig avskrekkende,
men eventuelle inntrengere kommer
ikke langt. Området videoovervåkes
og patruljeres, bruk av adgangskort
overvåkes og alarmen går ved misbruk.
Også brann og lekkasje oppdages
raskt av automatisk overvåkning.
På samme måte overvåkes det digitale
nettet mot inntrengere og sabotasje.
– Vi følger anbefalinger fra myndighetene
og abonnerer også på relevante
nyhetsbrev. Når NorCERT eller
PST varsler om nye trusler setter vi i
verk tiltak umiddelbart, forteller Antonsen.
NorCERT (norsk Computer Emergency
Response Team) er den operative
delen av Nasjonal sikkerhetsmyndighet
(NSM). Antonsen mener at
høy sikkerhet generelt, og rask reaksjon
når det skjer noe nytt, har stoppet
mange forsøk på datainnbrudd.
Selv om KTP ikke har formelt ansvar
for de andre i parkens IKT-sikkerhet
deler enhetene informasjon
med hverandre. Men det er vanntette
skott mellom de ulike virksomhetenes
IT-systemer:
– Dette for å sikre at virus ikke automatisk
smitter over til naboen, sier
Antonsen.
KTP og virksomhetene der har
også møter med PST flere ganger i
året. I tillegg forholder de enkelte bedriftene
i parken seg til andre lands
myndigheter. Med utenlandske eiere
gjelder gjerne en annen lovgivning og
kultur, og KTP legger lista etter den
virksomheten i parken som har det
strengeste regimet.
•
Sikkerhet nr. 3 • 2017 45

digitalisering
Sikring inn i
HMS-regelverket
Tydeliggjøring i intern kontroll for skriften.
Den 1. juli ble flere av formuleringene
i interkontrollforskriften endret for å
synliggjøre arbeidsgivers ansvar for å
hindre sabotasje og terror. Bakgrunnen
er blant annet terrorangrepene
22. juli. Det skriver teknologi- og
kompetanseselskapet Infotjenester på
sitt nettsted.
– Et av målene med endringene er å
synliggjøre arbeidsgivers ansvar for å
forebygge tilsiktede uønskede hendelser
gjennom det systematiske HMSarbeidet,
sier avdelingsleder Siri
Hagehaugen ved enhet for eksplosivsikkerhet
i DSB til Infotjenester.
Presisering
Endringen medfører ingen nye plikter,
men er altså kun en presisering av
at security hører til internkontroll.
I artikkelen står det videre at Hagehaugen
sier at DSB ønsker å synliggjøre
forskjellen på sikring og sikkerhet.
I den nye forskriften er skillet
tydeliggjort ved at det er lagt inn to
nye punkter under §1, som lister opp
områder hvor det skal fremmes forbedringsarbeid
i virksomhetene.
• Forebygging av uhell og ulykker
forbundet med egen lovlig aktivitet
• Forebygging av uønskede tilsiktede
hendelser
– Ikke bare uhell
I 2015 ble det gjort endringer i
brann- og eksplosjonsvernloven, som
nå etter følges av disse endringene i
intern kontrollforskriften.
– Målet er at det skal bli en integrert
del av det systematiske HMS-arbeidet
i virksomhetene, og at de ikke
bare skal tenke uhell. For virksom heter
som håndterer kjemikalier må det
stilles spørsmål ved hvem som trenger
å ha tilgang til disse, om det er behov
for tilgangskontroll og om de har et
godt system for å holde oversikt over
om noe blir borte, sier Hage haugen i
DSB til Infotjenester. NSO
S for sikkerhet og sikring
Med endringen i internkontrollforskriften
som kom i sommer er
HMS-begrepet noe utvidet. For
industri vernet vil dette kunne få betydning
dersom «kartleggingen av
farer og problemer» som kreves i
intern kontroll forskriftens § 5 viser at
uønskede tilsiktede handlinger kan
medføre hendelser med konsekvenser
som ikke tidligere er vurdert.
Når S i HMS nå inkluderer både
«safety» (sikkerhet) og «security»
(sikring) bør det bli mer naturlig å
jobbe like systematisk med alle sider
av sikkerhetsbegrepet. For beredskapsformål
er det i utgangspunktet
mindre viktig med søkelys på hvorfor
en hendelse skjer.
Like fullt vil planlagte handlinger
stille nye krav til vurderinger av blant
annet samtidige hendelser. En planlagt
«ulykke» der for eksempel varslings-/nødsystemer
bevisst er satt ut
av drift vil kunne skape store problemer
– også for de som skal håndtere
redningsinnsatsen.
Andre vurderinger
NSO kjenner selvsagt til at mange allerede
har dette med i sine risikovurderinger
og dermed har beskrevet
uønskede hendelser med bakgrunn i
tilsiktede hendelser. Til de som ikke
føler at de har dette under kontroll
anbefaler vi en ny gjennomgang.
• Hvilke trusler er det vi bør vurdere?
• Hvilke verdier/produkter, hvilken
informasjon eller hvilke markedstilganger
kan bli truet?
• Hvor enkelt/vanskelig er det å
skade/stjele disse?
• Hvilke konsekvenser kan det få?
Det krever med andre ord litt andre
46
Sikkerhet nr. 3 • 2017

Sikring inn i forskriften: Hvis uønskede tilsiktede handlinger kan medføre hendelser med konsekvenser som ikke tidligere er vurdert,
må industrivernets beredskap endres. Bildet er fra Øvelse Bjørn 3. juni 2015 i regi av Samøv Buskerud, der en rekke scenarioer skjedde samtidig.
Foto: Karoline Kathrine Åbyholm
vurderinger enn før, og dette vil du
finne noe om i artikler i tidligere utgaver
av Sikkerhet. Også i denne utgaven
vil du få innspill og ideer om
hvordan dere kan og bør beskytte
dere mot aktuelle trusler.
Digitale trusler
Vi leser mye om trusler i det «digitale
rom». Noen har allerede fått merke
konsekvensene av innbrudd i datasystemer,
kidnapping av informasjon
på servere og manglende sikring av
kritiske digitale styringssystemer.
Dette stiller nye krav til forståelse av
egen sårbarhet.
Dette kan også få innvirkning på
håndtering av hendelser. Hvis fjernstyring
og overvåkning av større anlegg
blokkeres blir det fort vanskelig
å skaffe seg oversikt og handle riktig.
Får uvedkommende adgang til kritisk
informasjon om virksom hetens
anlegg vil dette kunne brukes til å
«designe» hendelser som kan ende
med alvorlige ulykker. Slik informasjon
kan også brukes til å sabotere
normal drift og dermed forstyrre leveranser
som er viktige for virksomhetenes
kunder. Dette vil kunne gå
utover muligheten til å få fremtidige
kontrakter.
NSO oppfordrer industri vernledere
til å benytte denne forskriftsendringen
som en mulighet til å
gjennomgå risikovurderingene og
oversiktene over uønskede hendelser
på nytt. Da vil industri vernet være
enda bedre rustet til å berge liv og arbeidsplasser
– uansett årsak til hendelsene.
Knut Oscar Gilje
Direktør
Sikkerhet nr. 3 • 2017 47

digitalisering
Lat og Lur: De late ser etter nye løsninger. Hvordan kan en oppgave gjøres lettere med ny teknologi?
Illustrasjon: Creatarka/Shutterstock
Vart du skræmt no?
Vær nysgjerrig, men ikke naiv.
Etter å ha lest dette nummeret av Sikkerhet
har du vel fått det med deg:
Klikk ikke ukritisk på lenker, kjør
oppdateringer, gi ikke fra deg verdifull
informasjon:
Tro ikke alt hva du leser,
del ikke alt hva du vet.
Da sparer du mange penger,
og opptrer med sikkerhet.
Skremmende situasjon
Det er lett å bli skremt i dagens arbeidsliv.
En liten feil du gjør, kan
koste bedriften mange tusen kroner
– kanskje mer.
Driver vi i Sikkerhet med skremsels
propaganda? Ønsker vi oss tilbake
til skrivemaskiner med kulehode og
rettetast, til fabrikker uten automatisering
og kontorer der faks var den
raskeste måten å sende brev? Nei!
Nysgjerrig og lat
Tro det eller ei, men jeg som har ivret
mest for å sette digitalisering på
dagsorden i Sikkerhet, jeg er en skikkelig
nerd. Jeg elsker å finne ut av ny
programvare, praktiske apper og nye
løsninger. Det finnes knapt større
lykke enn å automatisere en kjedelig
manuell operasjon eller å lykkes med
å skrive en vanskelig kode. Jeg er stort
sett sjøllært. Det jeg kan har jeg lært
gjennom prøving og feiling, nysgjerrighet
og latskap.
I følge skribenten Bjørn Gabrielsen
er det nemlig de late som bringer
verd en framover. De flittige fortsetter
å gjøre arbeidsoperasjoner på samme
måten som sine foreldre og besteforeldre,
mens vi late spekulerer på hvordan
oppgavene kan løses med mindre
arbeid.
Ser du mulighetene?
Har han rett i sin hypotese ønsker jeg
meg flere late folk i norsk industri.
Folk som ser etter nye løsninger, som
funderer på hvordan oppgavene kan
løses annerledes med ny teknologi,
hvordan produksjon og bered skap
kan forbedres med digitale hjelpemidler.
Er du nysgjerrig og lat (på den riktige
måten!) kan du være den som
revolu sjonerer egen arbeidsplass.
Kanskje finner du opp en metode
som sørger for at produksjonen i
Norge blir mer lønnsom? Kanskje
tar du initiativ til en app som hjelper
dere å redusere antall ulykker? Kanskje
kan digitale løsninger sørge for
at industri vernet kommer raskere på
plass når ulykken har skjedd?
Mulighetene er nærmest uendelige.
Ser du dem?
Ingeborg Altern
Journalist, utvikler og designer
48
Sikkerhet nr. 3 • 2017

huskeliste
Følg myndighetens anbefalinger
Kjenn til truslene: Lytt til Nasjonal sikkerhetsmyndighet,
Politiets sikkerhetstjeneste og andre sikringseksperter.
Følg anbefalingene på nettvett.no
Oppdater systemer og programmer.
Informasjon er verdier
Hvor lenge kan dere drive uten tilgang til filene deres?
Pass på at dere har sikkerhetskopi av alt.
Hvor lenge kan dere drifte produksjon og logistikk uten nettilgang?
Ha gode reserveløsninger.
Hvor verdifulle er deres bedriftshemmeligheter?
Sørg for at verdifull informasjon ikke kommer på avveie.
Opplæring av de ansatte
Gjør de ansatte bevisste på digitale trusler – og muligheter.
Ha gode rutiner – og forklar hvorfor de må følges.
Inkluder sikringshendelser
Hvilke (digitale) sikringshendelser kan ramme virksomheten?
Hvordan skal industrivern og annen egenberedskap håndtere disse?
Øv på de mulige scenarioene – uten tilgang til filer og nett.
Anmeld til politiet
Blir dere utsatt for svindelforsøk, dataangrep o.l. – anmeld saken til politiet.
Politiet trenger oversikt over hendelser for å kunne gå etter skurkene
og for å forebygge nye hendelser.
Sikkerhet nr. 3 • 2017 49

forskrift
Revidering av forskrift om industri vern
Ønsker at virkeområdet
i forskriften
skal treffe bedre.
tekst og foto: Karoline K. Åbyholm
Siden slutten av juni har NSO og DSB
arbeidet med revidering av forskrift
om industri vern.
– Vi har registrert at forskriften
ikke treffer helt, sier spesialrådgiver i
NSO, Bjørn Egil Jacobsen.
Han og juridisk fagsjef i NSO, Inger
H. Bye, leder NSOs arbeid med å revidere
forskriften. Representanter fra
DSB og alle i NSO som går tilsyn vil
bli involvert i arbeidsprosessen.
– Ett av målene er at forskriften
skal være så godt som mulig tilpasset
bered skapsbehovet i ulike typer virksomheter,
sier Jacobsen.
De påpeker et behov for at forskriften
må utvikle seg i tråd med beredskapsbehovet
lokalt.
– Det er et økt behov for forberedt,
rask og presis informasjon til nødetatene.
Dette er helt nødvendig i en
akuttsituasjon som involverer farlige
stoffer, angrepsveier og mulige farer.
Denne utviklingen er også forskriften
nødt til å gjenspeile. Vi må også skape
større forståelse for hvor viktig det er
å utnytte de ressursene som allerede
er på virksomhetene og hos nød etatene
lokalt, sier Jacobsen.
Diskuterer næringskodene
Det er i første omgang virkeområdet
for forskriften, altså hvilke næringskoder
forskriften gjelder for, som blir
diskutert.
– Erfaring med forskriften har vist
at virksomheter som etter vår mening
bør ha industri vern faller utenfor forskriften.
Derfor er vi nødt til å se på
hvilke næringskoder forskriften skal
gjelde for. Det er også mulig at noen
av virksomhetene som i dag er omfattet
av forskriften ikke driver den type
aktivitet som tilsier at industri vern er
nødvendig, sier Bye.
– Vi har sett flere hendelser de siste
årene hvor vi tror konsekvensene
kunne vært redusert med et robust
industri vern. Vi kommer særlig til å
diskutere og se på næringskoder som
gjelder farlige stoffer, lagring og steder
hvor det er få mennesker til stede,
men stor aktivitet som kan medføre
hendelser med behov for egenberedskapstiltak,
sier Jacobsen.
Trengs en tydeliggjøring
Hvilke andre endringer som kommer
er foreløpig usikkert.
– Vi må få på plass næringskodene
forskriften skal gjelde for først,
for hvilke bransjer forskriften gjelder
for vil påvirke hvordan resten av
forskrift en skal være. Noen paragra­
50
Sikkerhet nr. 3 • 2017

Sikkerhets gule sider
førstehjelp
samaband & varsling
Forskrift om
industrivern
Forskriften skal sikre at virksomheter har et robust
industri vern som forsvarlig og effektivt er i
stand til å begrense de konsekvenser uønskede
hendelser kan få for liv, helse, miljø og materielle
verdier og å bidra til rask normalisering.
Fastsatt av Direktoratet for samfunnssikkerhet
og bered skap 20. desember 2011 med hjemmel
i lov 25. juni 2010 nr. 45 om kommunal beredskapsplikt,
sivile beskyttelsestiltak og Sivilforsvaret
(sivilbeskyttelsesloven) § 23 femte ledd
og § 30 jf. dele gerings vedtak 1. september
2003 nr. 1161.
Endret ved forskrift 18 februar 2015 nr. 135.
En kamp for livet – mot klokken
• Kurs
• Kurshefter
• Førstehjelpsutstyr
• Hjertestarter
• Treningsdukker
• Bårer
• HMS
Telefon: 53482050
E-Post: hlr.post@hjertevaktem.no
web: hjertevakten.no
Nettbutikk:
www.hjertevakten.com
kurs & opplæring
Reaching
people
when
it matters
most
Les mer på ums.no
MÅ UTVIKLE SEG: Ett av målene med revidering av
forskrift om industrivern er at forskriften skal være så godt
som mulig tilpasset beredskapsbehovet i ulike typer virksomheter.
Juridisk fagsjef Inger H. Bye og spesialrådgiver
Bjørn Egil Jacobsen påpeker behovet for at forskrif ten må
utvikle seg i tråd med bered skapsbehovet lokalt.
NISIK AS, DIN
TOTALLEVERANDØR AV
OPPLÆRING OG ØVELSER.
Se terminliste annet sted i bladet
Vi skreddersyr mot din bedrift.
tore@nisik.no
mobil 915 10 223
fer må kanskje skrives om, og mulig ens må nye legges
til, sier Bye.
De ser begge uansett behovet for en tydeliggjøring
av enkelte begreper og en gjennomgang av
terminologien i forskrift en.
– Begrepet sysselsatte bidrar til misforståelser.
Når virksomheter leier inn arbeidskraft vil ikke
dette påvirke antall ansatte, men antall sysselsatte
som jobber på virksomheten vil endres. Det er en
stor utfordring å kommunisere dette med virksomhetene.
Vi må fange opp virksomheter hvor
antall sysselsatte og aktiviteten tilsier et behov for
industri vern, sier Jacobsen.
Trer i kraft neste år
Endring av forskrifter er en omstendelig prosess,
og er ikke gjort over natten.
– Vi er godt i gang, men mye arbeid gjenstår
fortsatt. Vi skal ha interne diskusjoner i NSO
og arbeidsmøter med DSB utover høsten. Det
er DSB som i samarbeid med Justis- og beredskapsdepartementet
godkjenner og fastsetter forskriften.
sier Bye.
Målet er at den reviderte forskrift en trer i kraft
1. juli 2018. Du vil få siste nytt om endringen av
forskriften på nso.no.
•
En kamp for livet – mot klokken
• Kurs
• Kurshefter
• Førstehjelpsutstyr
• Hjertestarter
• Treningsdukker
øvelser
• Bårer
• HMS NISIK AS, DIN
TOTALLEVERANDØR AV
Telefon: 53482050
E-Post: hlr.post@hjertevaktem.no
web: hjertevakten.no
Nettbutikk:
www.hjertevakten.com
Din annonse her?
Se frister etc side 59
OPPLÆRING OG ØVELSER.
Se terminliste annet sted i bladet
Vi skreddersyr mot din bedrift.
tore@nisik.no
mobil 915 10 223
Sikkerhet nr. 3 • 2017 51

digitalisering
konferanse
Mini-kurs på konferansen
Det er mulighet for å ta to
ulike mini-kurs på årets
Industrivernkonferanse.
tekst: Karoline K. Åbyholm
Antall påmeldte til Industrivernkonferansen
i desember har økt jevnt og
trutt over sommeren. Programmet er
nå så godt som ferdig, og det arbeides
nå med de siste forberedelsene.
– Vi er glade for at mange stoler på
at NSO skal levere et godt faglig arrangement,
og vi arbeider nå med å få
spikret de siste programpostene, sier
NSOs direktør Knut Oscar Gilje.
Beredskapsverktøy
Nå har NSO gleden av å fortelle at det
blir to mini-kurs; ett som bygger på
NSOs kurs i øvelsesplanlegging og ett
i bered skapsanalyse.
– Dette å få noen konkrete verktøy
de kan videreføre i sitt beredskapsarbeid
er noe vi vet at mange
deltakere har etterspurt tidligere.
Derfor ser vi frem til å tilby nettopp
dette på konferansen i år, sier Gilje.
Begrenset kapasitet
Deltakerne vil motta et kursbevis etter
endt seksjon.
– Vi har dessverre begrenset kapasitet
på mini-kursene, så vi vil ha et
påmeldingssystem etter hvert som
konferansen nærmer seg. Hvis dette
er en suksess, skal du ikke se bort ifra
at vi vil fortsette med kurs på senere
konferanser.
Gilje understreker at mini-kursene
ikke erstatter fullversjonen av kursene:
– Hvis man ønsker mer dyptgående
kunnskap om enten øvelsesplanlegging
eller bered skapsanalyse
vil vi anbefale å ta et fullverdig kurs.
Mini-kursene vil gi en god innføring
IV-konferansen
Industrivernkonferansen (tidligere
Fagseminaret) holdes hvert år
den første tirsdagen og onsdagen
i desember.
Konferansen tilrettelegges for
ledende fagpersoner innen beredskap
og industri vern.
I år holdes konferansen 5.-6.
desember på Thon Hotel Arena i
Lillestrøm.
i temaet, men to klassetimer vil aldri
kunne erstatte et kurs som varer én eller
flere dager.
Erfaringsutveksling
I tillegg til mini-kurs i beredskapsanalyse
vil det bli mulig å velge ulike
seksjoner tirsdag ettermiddag; seksjonene
er delt opp i tema ene innsatsledelse,
førstehjelp og brann vern.
– Vi tror at alle vil finne foredrag
som vekker interesse. Gjennom hele
konferansen vil vi dele erfaringer – og
lære av dem, sier Gilje.
Informasjon om program og opphold samt påmelding: www.nso.no
Meld dere på via nettstedet nso.no.
Alle henvendelser om deltakelse og
opphold, også ved endringer, skal
rettes til Hotellink som administrerer
industri vernkonferansen for NSO. Faktura
kommer fra Hotellink, ikke NSO.
For endringer på bestillingen, kontakt
Per Mikkelsen i Hotellink:
tlf: 66786250, epost: per@hotellink.no
Deltakeravgift
Begge dager, per person: 4.700 kr
Én dag, per person: 2.900 kr
Overnatting/forpleining
Alt-inkludert -pakke: 3.195 kr
Ekstra overnatting 4.-5. des.: 1.195 kr
For dagsbesøkende:
Lunsj/pausemat
630 kr
Fellesmiddag 5. des. 1.120 kr
52
Sikkerhet nr. 3 • 2017

konferanseprogram
Tirsdag 5. desember
Tispunkt Tema Foredragsholder
0900-1000 Registrering
1000-1045 Praktisk info/velkommen Knut Oscar Gilje, NSO
1045-1145 Åpningsforedrag
1145-1200 Utstillerne presenteres
1200-1300 Lunsj
Seksjon 1
Innsatsledelse
1300-1340 Innsatsledererfaringer fra SIM-
KAT og den virkelige verden
– Stefan Moldvær, politioverbetjent
i Sør-Øst politidistrikt
1340-1400 Utstilling
1400-1440 Syvtrinnsmodellen (enhetlig
ledelsessystem) – Ole Aaker,
Norges brannskole
1440-1500 Utstilling
1500-1540 Innsatsledere fra industrien –
ferske erfaringer fra hendelser
Seksjon 2
Brannvern
Nytt på brannfronten – utstyr og
metode
«Eksplosjon og brann i ammoniakkfabrikken»
– slik håndterte
vi det – Pål Klavenes, fabrikksjef
ammoniakkfabrikken Yara
Porsgrunn og Paul Roger Heie,
innsatsleder Nokas Beredskap
AS
Samarbeid mellom industrivernpliktige
virksomheter og
brannvesenet – Øyvind Stensø
Skjørholm, brannsjef i Hadsel
kommune og industrivernleder
hos Skretting, Roar Hellem
Seksjon 3
Førstehjelp
Håndtering av kjemikaliehendelse
Effektiv øvelse av håndtering
av klemskader –
Ollie Hancock, Casualty
Resources
Åpen post
Seksjon 4
Mini-kurs
Mini-kurs i
øvelsesplanlegging
del 1
Mini-kurs i
øvelsesplanlegging
del 2
Mini-kurs
i beredskapsanalyse
del 1
1540-1600 Utstilling
1600-1640 Dette bør innsats ledere ha i
sin opplæring – NSO
Ny utdanningsmodell – løsninger
for deltidsbrannvesen – Jan
Erik Andersen, Norges brannskole
Reaksjoner etter ulykker
– Stein Moen, Soscon,
Institutt for krisehåndtering
Mini-kurs
i beredskapsanalyse
del 2
1640-1800 Utstilling
1900 Aperitif før middag kl. 19:30
Onsdag 6. desember
Tidspunkt Tema Foredragsholder Mini-kurs
0830-0915 Akutthjelpere Bjørn Jamtli, seniorrådgiver i Helsedirektoratet
0915-1000 S for sikkerhet og sikring – Hvordan påvirker
endring i internkontrollforskriften
industri vernets oppgaver?
1000-1030 Utsjekk
1030-1115 Slik bygger og vedlikeholder vi en sikkerhetskultur
Roger Soraasdekkan, adm. dir. Allnex
Mini-kurs i øvelsesplanlegging
del 1
Mini-kurs i øvelsesplanlegging
del 2
Mini-kurs i beredskapsanalyse
del 1
1115-1200 Industrivern ledere med fokus på sikkerhetskultur
1200-1245 «Fem personer til sykehus etter H2Sutslipp»
Ole Ragnar Helgen, Bilfinger og Kristin
Samuelsen, Sisterne Drift, Sjursøya
Bernhard Eriksen, industrivernleder Sture
og Kollsnes, Statoil
1245-1300 Avslutning Knut Oscar Gilje, direktør i NSO
1300-1400 Lunsj
Dette er et foreløpig program, og NSO tar forbehold om endringer. Oppdatert program finner du til enhver tid på nso.no
Mini-kurs i beredskapsanalyse
del 2
Sikkerhet nr. 3 • 2017 53

nettverk
Unge markører: Forsvaret hjalp til på øvelsen.Foto: Mariann Nesvold
Industrivernleder tatt på senga
Onsdag 7. juni hadde industri vernet ved Nortura SA avd.
Målselv en uvarslet øvelse i samarbeid med nødetatene og
forsvaret. Ikke en gang industri vern leder Harald Brenna
visste om øvelsen!
– Det var kun daglig leder og brannmester i forsvaret
som visste om øvelsen på forhånd. Jeg ble fullstendig tatt
på senga! Under en hendelse er jeg også innsats leder, så jeg
synes det var bra å få testet meg selv i en øvelsessituasjon
som jeg ikke hadde vært med på å planlegge, sier Brenna.
Scenarioet var brann i andreetasje, og det var stor røykutvikling
og fire skadde. Forsvaret stilte opp som markører.
– Det var mange læringspunkter for oss, vi slet blant annet
litt med radiokommunikasjonen under øvelsen. Vi skal
ha et møte med nødetatene og alle involverte etter sommerferien
for å planlegge det videre bered skapsarbeidet,
sier Brenna.
• NSO
Diplom: Fra venstre fabrikksjef Arne Viggo Nesvold, brannvernleder
og hedersmann Tor Sundheim og industrivernleder Harald
Brenna.
Foto: Mariann Nesvold
Hedersdiplom til Sundheim
Under evalueringen av den uvarslede øvelsen hos Nortura
Målselv onsdag 7. juni, ble det utdelt et hedersdiplom til en
trofast industri verner.
– Tor Sundheim har egentlig gått av med pensjon, men
han jobber litt hos oss fortsatt. Han har vært brann vernleder
i 23 år. Vi gratulerer Tor så mye og takker ham for en
lang tjeneste som brann vern leder og ønsker ham lykke til
videre, sa industri vern leder Harald Brenna. • NSO
SAMARBEIDER: Disse virksomhetene deltok på møtet: Trigger
AS, Viknes AS, Karsten Moholt AS, One Subsea AS, NOBI Askøy AS,
Semco Maritime AS og Isbjørn Is AS.
Foto: Harald J. Bergmann
Askøybedrifter idemyldrer
– Vi kan lage et spleiselag når innsatspersonellet trenger
kurs.
– Vi kan tipse hverandre når vi har øvelse, så kanskje
noen kan komme utenfra og gi oss tilbakemeldinger.
Ideene myldret da industri vern ledere og innsats ledere
fra syv bedrifter på Askøy kom sammen til sitt halvårlige
nettverksmøte 5. mai. Vertskap denne gang var Viknes Båt
og Service AS og Trigger Jobb AS.
Smarte hoder fant ut at nettverket kan ha nytte av en
egen Facebook-gruppe, for lettere å holde hverandre oppdatert
om hva som skjer og hvilke behov den enkelte har.
Dette tilbød Tommy Olafsen i Trigger seg å lage – så det ble
ikke bare «tenking», men også handling.
Neste møte blir utpå høsten, hos Karsten Moholt AS. Da
vil NSO bidra med et minikurs i risikovurdering og beredskapsplanlegging.
• NSO
Hedersdiplom til Waldemar
Mangeårig industri vern leder ved Eramet Norway AS avd.
Sauda, Waldemar Olsen (t.h.), har blitt hedret med NSOs
Heders diplom. Han fikk utdelt diplomet fra verksdirektør
Rune Dolmen (t.v.).
Olsen har 15 års erfar ing i
industri vernet som industrivern
leder. Han har også erfaring
fra Sauda brannvesen,
hvor han blant annet har
vært utrykningsleder.
NSO gratulerer og takker
for mangeårig innsats!
NSO
54
Sikkerhet nr. 3 • 2017

MANGE DELTOK: Disse deltok på nettverksmøte for industrivern: Silje Alvsvåg og Benedikte Gåsland, Bremnes Seashore AS; Jimmy Lungstrøm,
Sissel Djuvik og Anna Waage, Sjøtroll Havbruk AS; Vidar Siggervåg, Siemens AS; Odd Halleråker og Sanna Simonsen, Servogear AS;
Vanja Espeland, Olvondo AS; Ove Halleraker, Bømlo Brannvern; Sissel Habbestad og Endre Engen, Helse Fonna.
– Ikke undervurder verdien av trening
En godt forberedt
red nings stab er viktig
når en dramatisk
situa sjon inntreffer.
tekst og foto: Harald J. Bergmann
– Det var veldig krevende timer og
dager, fortalte Silje Katrine Alvsvåg
om stabsarbeidet under en langvarig
savnet-sak for bedriften tidligere i år.
Alvsvåg er industri vern leder ved
Bremnes Seashore AS på Bømlo, og
var 23. mai vertskap for et av de regelmessige
nettverksmøtene mellom bedriftene
i kommunen.
Hun fortalte om erfaringene etter
en redningsaksjon som pågikk i
flere dager etter at en ansatt ble meldt
savn et. Bedriftens redningsstab fortsatte
arbeidet også etter at myndighetene
avsluttet letingen. Senere er
den savnede kommet til rette.
Besøk av Helse Fonna
– Jeg vil gjerne formidle hvor viktig
det er å ha en forberedt redningsstab
når en dramatisk situasjon inntreffer.
Vi har fått mange erfaringer gjennom
aksjonen, men klarte oss bra takket
være øvelsene vi hadde gjennomført
tidligere. Ikke undervurder verdien
av trening!
Etter en omvisning i bedriften kom
Helse Fonnas ambulansetjeneste på
besøk. Sissel Habbestad og Endre
Engen er sykepleiere og ambulansearbeidere:
– Det er viktig for oss at noen møter
ambulansen når den kommer til
bedriften. Noen ganger er det også
viktig å ha noen tilgjengelig som kan
hjelpe med tunge løft.
– Øv på HLR
Ambulansepersonellet oppfordret
industri vernet om å repetere hjertelunge-redning
regelmessig. Brannsjef
Ove Halleraker støttet dette.
– Dere må trene på 30-2 minst én
gang hvert år (antall hjertekompresjoner
og innblåsninger, jour.anm.),
Halleraker, som alltid deltar på nettverksmøtene.
Hans lakoniske oppfølging
var:
– For oss i brannvesenet er ikke en
pasient død – i verste fall er han livløs!
Sissel og Endre oppfordret virksomhetene
til å laste ned en app fra
luftambulansen om hvordan man
mottar deres helikopter. Den er fritt
tilgjengelig og kan være nyttig å gjøre
seg kjent med.
Sikkerhet nr. 3 • 2017 55

digitalisering
notiser
Laget ny tavle: Industrivernleder på Røros Vinduer og Dører AS, Kjell Thore Magnussen, sendte en fredag ettermiddag dette bildet til
Sikkerhet. På redningsstabens nye tavle kan viktig informasjon noteres raskt og klistrelapper sørger for at ingen elementer blir glemt. En
god idé! Send oss gjerne bilder fra din industrivernhverdag til sikkerhet@nso.no eller send bilde og tekst til nr. 936 41 307.
Foto: Kjell Thore Magnussen/Røros Vinduer og Dører AS
Systematisk ledelse av slukkeinnsatser
Taktikkboken:
Skrevet av Magnus
Mattson og Linus
Eriksson, og oversatt
til norsk av Lars
Brenden.
I august kom en ny norsk
håndbok for utrykningsledere
og annet brannbefal.
Boken finnes fra før
i en svensk utgave og gir
en innføring i systematisk
ledelse av slukkeinnsatser
mot bygningsbranner.
– Norske brannvesen har
lenge etterspurt en til svarende
håndbok på norsk
som tar for seg de taktiske
sidene ved slukking av u like
typer bygningsbranner.
Nå er den endelig her, sier
senior rådgiver og forlagsansvarlig
Thor Kr. Adolfsen
i Norsk brann vernforening.
Taktikkboken er skrevet
av svenskene Magnus
Mattson og Linus Eriksson
og oversatt til norsk av
Lars Brenden, mangeårig
utrykningsleder ved Oslo
brann- og redningsetat. Boken
beskriver trinnvise prosedyrer
for planlegging og
gjennomføring av slukkeinnsatser.
Den tar for seg
utrykningslederens syv viktigste
beslutninger basert
på en modell for scenariobasert
beslutningstaking, den såkalte
7-trinnsmodellen.
– Håndboken inngår som en del
av pensum på Norges brannskole.
Sistnevnte står også bak utgivelsen
sammen med Brannvernforeningen.
Innholdet danner dessuten grunnlag
for interne kurs ved flere av landets
brannvesen, sier Adolfsen.
Taktikkboken er på 136 sider og kan
kjøpes i nettbutikken til Norsk brannvernforening.
Med boken får du også
tilgang til mer enn 600 lysark som
snart kan lastes ned via Brannvernforeningens
nettsider.
NSO
56
Sikkerhet nr. 3 • 2017

TYPISK TILSYN: Slik kan et vanlig tilsyn foregå. Bildet er tatt under et tidligere tilsyn juridisk fagsjef Inger H. Bye hadde ved virksomheten
Kimek AS.
Foto: Karoline Kathrine Åbyholm
– NSO bør ha meir operative tilsyn
Mastergradstudent Sondre
Lekve Bjelle mener
NSO bør prioritere øvelser.
Bjelle har vore mastergradsstudent i
samfunns sikkerheit ved Universitetet
i Tromsø, og leverte våren 2017 ei
oppgåve med tittelen «Tilsyn og sikkerheitsstyring
– ein case-studie av
tre industriverksemder i Troms».
– Eg visste ikkje noko om industrivern
og NSO før eg begynte å jobbe
med denne oppgåva. Eg blei tipsa av
ein professor om at eg kunne skrive
oppgåve i samarbeid med NSO. Eg
sendte ein epost til direktør i NSO og
fekk ein positiv tilbakemelding som
motiverte meg til å finne ei interessant
problemstilling, seier Bjelle.
Var med på tre tilsyn
Problemstillinga han valde å
jobbe med var i kva grad bidrar
Næringslivets sikkerhetsorganisasjon
til sikkerheitsstyring i verksemder
gjennom tilsyn med industri vernet.
– For å tileigne meg kunnskap
leste eg ein del teori rundt bered skap
samt at eg deltok på Industrivernkonferansen
i fjor og kurset «Industrivernforskriften».
På kursa fekk eg
prata med tilsynspersoner frå NSO
og representantar i verksemdene.
Det var slik eg vart opptatt av dette
med tilsyn, som jo er eit viktig verkemiddel
for NSO for å kunne bidra til
robuste industri vern.
Bjelle var med på tilsyn ved tre
verksemder, og intervjua dei tilsette
i etterkant om kva dei meinte om tilsynet.
– NSO fører veldig strukturelle tilsyn
som har eit stort dokumentfokus,
mens industri vern er eit operativt arbeid.
Eg var interessert i kva innsikt
NSO fekk i det operative arbeidet ved
berre å føre dokumenttilsyn.
– Tilsyn med øvingar
– Kva konklusjonar trakk du i oppgåva?
– Dei bered skapsplanane eg fekk
innsyn i var veldig generelle. Dersom
det er ei kritisk hending så må
dei operative ta styringa, noko som
kan føre til desentraliserte avgjerder.
Det synes eg er interessant i kombinasjon
med at NSO legg veldig mykje
vekt på dokumenttilsyn og veldig lite
på det operative arbeidet, seier Bjelle
og meiner eit tilsyn med ei industrivernøving
kan være ein betre måte
for å fange opp nyansane i beredskapsarbeidet
til verksemdene.
– Ei øving vil vere nærare ei reell
hending, og ein vil på den måten få
betre innsikt i bered skapen enn å lese
dokument, meiner Bjelle.
Ynskjer fleire studentar
Direktør i NSO, Knut Oscar Gilje,
syn es oppgåva til Bjelle er interessant
lesing.
– Det er alltid interessant å få analysert
vår verksemd på denne måten.
Bjelle har fleire interessante punkter i
oppgåva si, seier Gilje.
Han oppfordrar andre studentar
som ynskjer å skrive oppgåve i samarbeid
med NSO om å ta kontakt.
– Vi er svært positive til å jobbe saman
med studentar, så det er berre å
ta kontakt dersom nokon er interesserte!
• NSO
Sikkerhet nr. 3 • 2017 57

digitalisering
nso-kurs
Kom på et NSO-kurs – meld deg på: nso.no
Industrivernkonferansen
NSOs Industrivernkonferanse tilrettelegges for industrivern
ledere og led ende fagpersoner innen bered skap.
Seminaret består av foredrag, muligheter for mingling
med andre industri vernere og besøk i utstillingen. Utstillere
fra hele landet stiller med det siste og beste innenfor
bered skaps- og industri vernutstyr og tjenester.
Festmiddagen tirsdag kveld med underholdning er for
mange et høydepunkt. Sted: Lillestrøm
5.–6. desember 2017 4.–5. desember 2018
Industri vernforskriften: 2-dagers
Kursene passer for industri vern ledere som har behov
for innsikt i forskrift om industri vern, hvilke oppgaver en
industri vern leder må løse og
hvordan et industri vern skal organiseres
og dimensjoneres. An-
11.–12. okt. 2017
14.-15. mars 2018
dre med bered skapsansvar og de
som har behov for å oppdatere 30.-31. mai 2018
seg vil også få utbytte av kurs et. 12.-13. sept. 2018
Det kreves ingen for kunnskaper.
14.-15. nov. 2018
Sted: Oslo
SIMKAT: 2- og 3-dagerskurs
SIMKAT (simulering av katastrofer) gir trening i innsatsledelse
på skadested og organisering av redningsstab. På
kurset får deltakerne prøve seg i ulike roller. 2-dagerskurset
er tilpasset virksomheter med grunnleggende bered skap
eller de med 1-2 forsterk ninger. 3-dagerskurset er tilpasset
virksomheter med flere forsterkninger. Kurset passer
for alle med roller i virksomhetens bered skap, personer i
redningsstab og i virksomhetens ledelse. Sted: Asker
2 dager: 24.–25. okt.
2 dager: 6.–7. mars 2018
2 dager: 16.–17. okt. ‘18
3 dager: 21.–23. nov.
3 dager: 10.–12. april ‘18
3 dager: 20.–22. nov. ‘18
Risiko- og beredskapsanalyse
Kurset skal gi grunnleggende ferdigheter i å kartlegge farer
og problemer, og å utføre en risikovurdering og beskrivelse
som skal benyttes som beslutningsgrunnlag for
å prioritere eventuelle tiltak.
Kurset gjennomgår hvordan du utarbeider en oversikt
over alle uønskede hendelser – som er utgangspunktet
for en beredskapsanalyse. Du vil også lære å velge ut dimensjonerende
uønskede hendelser og hvordan du gjennomfører
en beredskapsanalyse av disse. Med bakgrunn i
analysene får du grunnlag for detaljert dimensjonering av
industrivernet. Sted: NSOs lokaler på Lysaker
14.-15. november 20. mars 2018
OKTOBER 2017
NOVEMBER 2017
DESEMBER 2017
FEBRUAR 2018
uke M T O T F
uke M T O T F
uke M T O T F
uke M T O T F
40 2 3 4 5 6
44 1 2 3
48 1
5 1 2
41 9 10 11 12 13
45 6 7 8 9 10
49 4 5 6 7 8
6 5 6 7 8 9
42 16 17 18 19 20
46 13 14 15 16 17
50 11 12 13 14 15
7 12 13 14 15 16
43 23 24 25 26 27
47 20 21 22 23 24
51 18 19 20 21 22
8 19 20 21 22 23
44 30 31
48 27 28 29 30
52 25 26 27 28 29
9 26 27 28
MARS 2018
APRIL 2018
MAI 2018
SEPTEMBER 2018
uke M T O T F
uke M T O T F
uke M T O T F
uke M T O T F
9 1 2
14 2 3 4 5 6
18 1 2 3 4
36 3 4 5 6 7
10 5 6 7 8 9
15 9 10 11 12 13
19 7 8 9 10 11
37 10 11 12 13 14
11 12 13 14 15 16
16 16 17 18 19 20
20 14 15 16 17 18
38 17 18 19 20 21
12 19 20 21 22 23
17 23 24 25 26 27
21 21 22 23 24 25
39 24 25 26 27 28
13 26 27 28 29 30
22 28 29 30 31
58
Sikkerhet nr. 3 • 2017

neste nummer
Førstehjelpskurs
Et svært realistisk og praktisk rettet
kurs i førstehjelp tilpasset industrivern.
På kurset vil man få praktisk
trening i å håndtere alvorlige personskader
under veiledning av instruktører
med erfaring fra profesjonell
ambulanse tjeneste. Det vil være
profesjonelle markører, og deltakerne
får muligheten til å trene på å
behandle skadene i trygge og rolige
omgivelser. Sted: Sentrale østlandsområdet
Øvelses planlegging
NSO og Nasjonalt utdanningssenter
for samfunns sikkerhet og beredskap
(NUSB) tilbyr opplæring i å planlegge,
gjennomføre og evaluere
øvels er i sin virksomhet i henhold
til relevante og anerkjente øvingsveiledere.
Den primære målgruppen er industrivernledere
og andre med ansvar
for øvelser. Ledergruppen i en
virksomhet kan også ha nytte av
kurset. Sted: Heggedal, Asker
19.–21. september
20.–22. mars 2018
30. okt.–1. nov. 2018
Vil du lære mer? Les Sikkerhet!
Brannvern nr. 2 – 2017
Førstehjelp nr. 2 – 2016
Førsteinnsats nr. 4 – 2015
Innsatsledelse nr. 3 – 2016
Organisering nr. 1 – 2015
Planverk nr. 1 – 2017
Restverdiredning nr. 4 – 2016
Samarbeid nr. 1 – 2016
Utstyr nr. 2 – 2015
Øvelser nr. 3 – 2015
nso.no/bladet-sikkerhet
Tema: Erfaringer
«We do not learn from experience
– we learn from reflecting
on experience.» – John
Dewey
Både etter øvelser og reelle
hend elser vil det å kunne dra
lærdom av disse erfaring ene
være med på å skape et dynamisk
og robust industri vern.
• Hvordan kan vi evaluere
øvelser og hendelser slik at
vi lærer mest mulig?
• Hva har vi lært av hendelser
og hva kan andre industrivern
lære av oss?
• Hvordan sørger vi for at
erfaringen ikke forsvinner
når «ildsjelene» slutter eller
pensjonerer seg?
Annonser/utgivelsesplan
Bestilling/levering av annonser:
Ingeborg Altern på epost
annonse@nso.no.
nummer og tema
frister:
bestille
/ levere
4/17 Erfaringer 6.11 /
13.11
1/18 22.01 /
29.01
2 09.04 /
16.04
3 13.08 /
20.08
4 29.10 /
05.11
hos
leserne
uke 49
uke 9/10
uke
20/21
uke
39/40
uke
49/50
Se priser og annen informasjon:
nso.no/bladet-sikkerhet/for-annonsorer
Sikkerhet nr. 3 • 2017 59

Illustrasjon: Niels Poulsen
Den skumle teknologien
Digitalisering har vært og er en skummel greie for
mange. Jeg husker fortsatt små episoder fra tiden
da datamaskiner med tekstbehandling gjorde sitt
inntog for alvor (og jeg er ikke 100 år). Noen brukte
korrekturlakk på skjermen, andre var så redde
for at det de hadde skrevet skulle gå tapt at de fortløpende
tok foto av skjermbildet. Og da brukte de
ikke funksjonen «print screen», men de tok bilde
med kamera. Det var også knyttet stor spenning til
hvordan det hele tok seg ut når teksten ble skrevet
ut, spesielt for de som startet å bruke datamaskin
med programvaren Word Perfect.
Mye har skjedd siden den gang, selv om det ikke
er en mannsalder siden. Spørsmålet er om kompetansen
har gått fremover i samme tempo.
Digital graffiti
Det mangler nok mye på sikkerhetsbevisstheten og
forståelsen av helhetlig informasjonssikkerhet. La
meg illustrere det med et par korte historier.
For noen år siden ble flere norske nettsider «defaced»,
det vil si når hackere tar seg inn på serveren
og endrer forsiden på hjemmesiden – såkalt
«digital graffiti». Forsiden ble endret til et bilde av
en gris malt i det norske flagg. Dagbladet var én
av dem som ble rammet, og det ble også en fiskeforedlingsbedrift
i Lofoten. Denne bedriften hadde
forsiden i over en uke. Årsak: «Han som kunne
data var på ferie». Konsekvens: Ingen bestillinger
i perioden defacingen varte, siden dette gikk via
hjemmesiden.
Manglende bakgrunnssjekk
Et annet eksempel var en bedrift som hadde «gjort
alt» for å beskytte sine ideer og patenter, inkludert
nøye bakgrunnssjekk av de som jobbet i prosjektene.
Likevel kom konkurrenter dem i forkjøpet på
nye produkter. Etter lang tid gikk det opp for dem:
Tegningene måtte jo overlates til de som skulle
«skru sammen» produktene. Der var nemlig ikke
bakgrunnssjekken like god.
Informasjonssikkerhet handler om å finne løsninger
som beskytter enkeltpersoner og virksomheter
i en digital hverdag. Uten god informasjonssikkerhet
kan skadene og tapene bli store. Hvor
mange dager uten internett hadde dere taklet?
Skrevet av Arne R. Simonsen,
seniorrådgiver i Næringslivets Sikkerhetsråd
les 60 om Sikkerhet nr. 3 • 2017
digitalisering