Men det har kommet for dagen at gamle beredskapsplaner stort sett er utgått på dato og at mye av utstyret er gammelt og dårlig. Når det gjelder IT- sikkerhet, mangler beredskapsplanene totalt.
Næringslivets sikkerhetsorganisasjon (NSO) har gjennom sine retningslinjer gitt klare føringer for de industrivernpliktige virksomhetene i Norge om at disse skal være rustet til å møte spionasje, sabotasje, terror og annen kriminalitet.
De ca. 1200 bedriftene i denne kategorien har ca. 20.000 ”vernetropper” blant sine drøyt 180.000 ansatte. Disse bedriftene inngår samtidig i totalforsvarskonseptet. Regelverket, som hviler på Sivilforsvarsloven av 1953, men modernisert i de siste år, har nå fått ny aktualitet.
Entydig utvikling
Selv om terroren avdekket at beredskapsplanene er forbigått av utviklingen, er bildet likevel ikke helsvart. Tallet på bedrifter som tar kriminelle handlinger på alvor og tar hensyn til denne trusselen i sine risikoanalyser, går i positiv retning. I 1997 hadde bare 18 prosent av bedriftene dette. I 2000 var prosentsatsen steget til 41.
Vi er spent på tallene for 2001. Vi sender spørreskjemaene til industrivernrapporten ut i desember hvert år, sier tilsynssjef Bjørn Egil Jacobsen i NSO. Han presiserer at risikoanalyse og beredskapsplaner skal være basert på et oppdatert og mest mulig riktig trusselbilde. Man stiller krav til at alle de ca. 20.000 industrivernene skal ha vernemasker med filter til bruk ved krigsberedskap, men han medgir at NSO ikke har noen tall på hvor mye som kjøpes inn av slikt utstyr. Tradisjonelt har NSO påpekt at terror er en av mange kriminelle handlinger og har forsøkt å holde dette varmt i de industrivernpliktige bedriftene.
Trusselbildet er svært sammensatt, noe som krever en løpende risikovurdering og klare prioriteringer av tiltak. Lederne må engasjere seg og Jacobsen mener at beskyttelse mot kriminalitet bør inngå i HMS-arbeidet. Mange satser helhjertet, som Hydro Grenland og den petrokjemiske industrien på Tjeldbergodden og Kollsnes. Der er nesten alle med i industriverngruppene.
IT-sikkerhet
Men det største løftet er å få IT- sikkerheten på plass.
– Når vi vet hvor sårbare IT- systemene er, burde vi for lengst hatt beredskapsplaner på bordet, sier Berit Solstad, spesialrådgiver security i NSO. ”Nimda”- viruset, som slo ut mange bedrifter i flere dager i september, var en ny påminnelse om at datavirus blir stadig mer intelligent. Med en bedre beredskap kunne man ha unngått å blitt rammet av dette virusangrepet.
Solstad har imidlertid håp om at det kommende Senter for informasjonssikkerhet (SIS), kan gi næringslivet et bedre trusselbilde og stable på beina et bedre vern. SIS, som er et resultat av anbefalingene fra Sårbarhetsutvalget, er planlagt å starte som et treårig prøveprosjekt i høst.
Hvis SIS fungerer, vil vi få mye drahjelp, mener Berit Solstad, som er utdannet dataingeniør og tidligere har jobbet i Oslopolitiet for å bekjempe IKT- kriminalitet.
Sonderinger
Avdelingsdirektør Eivind Jahren i IT- avdelingen i Nærings- og handelsdepartementet opplyser at man sonderer aktuelle miljøer for å finne en leder for styringsgruppen og hvor SIS skal lokaliseres fysisk. Forprosjektet konkluderte at den ideelle organisering er en uavhengig stiftelse – enten den lokaliseres i et justis-, forsvars- eller universitetsmiljø.
Man har lagt frem et budsjettforslag på 4,5 millioner kroner for 2002 for oppstarting og drift av et treårig prøveprosjekt. Det tas sikte på en kompakt enhet med en håndfull IT-eksperter som skal ha som hovedoppgave å fremskaffe et helhetlig trusselbilde, formidle informasjon, kompetanse og kunnskap og ha samarbeid med tilsvarende organisasjoner i andre land.
Men arbeidsgruppen, som har jobbet med spørsmålet siden i vinter, anbefaler derimot ikke at SIS skal påta seg andre analyseoppgaver enn dem som er nødvendig for å fremskaffe et helhetlig trusselbilde. Ei heller bør SIS utvikle eller gjennomføre konkrete mottiltak i akuttsituasjoner.
Vi håper og tror at Stortinget bevilger pengene i høst i lys av terroraksjonene i USA, men vi vet jo ennå ikke noe, sier Jahren og krysser fingrene.
Først når budsjettet er vedtatt, vil man nedsette styringsgruppen som skal bidra til å utvikle konseptet, som ennå ikke er spikret i detalj.