Hvor godt er norske virksomheter forberedt på terror eller andre alvorlige kriminelle handlinger?

Publisert: 22.10.2014

Har vi tilstrekkelig med risikoforståelse, sikringsforståelse, prosesser, organisering og systemer for å håndtere slike handlinger? Har vi forståelse for den risiko som egen virksomhet er eller kan bli utsatt for?

Eli SætersmoenGjesteblogger Eli Sætersmoen er utdannet ved NTH og Amos Tuck School of Business Administration. Hun har lang erfaring innen beredskap og ledelse, spesielt fra offshore-bransjen.  Siden 2009 har hun ledet Falck Nutec, en av Norges største leverandører av sikkerhets- og beredskapstjenester. Innlegget er skrevet i samarbeid med seniorrådgiverne Ronald Barø og Joakim Barane.

For mange virksomheter var beredskapssommeren 2014 en tankevekker. Plutselig føltes terrortrusselen veldig nær. Det var et godt eksempel på at vi ikke lenger kan se på trusler som et lokalt fenomen. Hendelser og begivenheter i andre verdensdeler kan utvikle seg til trusler her hjemme i Norge. Trusler har ikke lengre nødvendigvis en lokal forankring, men har blitt en del av den globale virkeligheten. Sommerens trusler med opphav i Syria/Irak-konflikten var på mange måter en generalprøve på stykket som heldigvis ikke kom- denne gangen. Kriser som 22. juli-hendelsene og terroraksjonen i In Amenas har vist at ondsinnede handlinger kan ramme både vårt lille land og norske selskaper utenlands. Terror og andre alvorlige kriminelle handlinger kan skje hvor- og når som helst, uten forvarsel.

Vi må løsrive oss fra forestillingen om at en kan forutsi sannsynlighet for at det utenkelige skal skje!

Vi kan ikke basere våre langsiktige sikringstiltak på sannsynlighet. Hvor sannsynlig var 22. juli angrepet i Norge, 11. september angrepet i USA eller 7. juli bombene i London? Fram til det sekundet bomben detonerte utenfor Statsministerens kontor var terrortrusselen vurdert som lav av PST. Tradisjonelt sett har sannsynlighet vært den variabelen som forsøker predikere hvorvidt en trussel vil materialisere seg og gjennomføre en handling som vil ramme våre verdier. Men vi må dessverre erkjenne at en trusselvurdering har sine klare begrensninger i tid og rom. Vi lever i en dynamisk verden hvor handlinger og hendelser andre steder i verden hurtig kan endre trusselbildet i og mot Norge.

Å beregne sannsynligheten for at en alvorlig kriminell handling som terror vil ramme Norge, hvor den vil ramme, og i hvilken form den vil ramme, er en umulig øvelse. Det ligger så mange variabler til grunn for en slik beregning at den i beste fall er uhensiktsmessig. Derfor benyttes det vi kaller en dimensjonerende trussel. Med andre ord, hva er det farligste scenario vi er villige til å beskytte oss mot? Den dimensjonerende trusselen vil måtte ta utgangspunkt i trusseletterretning om mulige trender, intensjoner og kapasiteter hos kriminelle og terrorister. Bilbomben som detonerte i regjeringskvartalet 22. juli 2011 var på ca. 1000 kg. Hvor bør sikringsambisjonen vår ligge, hva bør være den dimensjonerende trusselen for våre sikringstiltak? Selv om fortidens trusler vanligvis ikke gjentar seg i samme form, vil sikringstiltak som demmer opp for stor bilbombe også beskytte mot mindre bomber.

Sikringstiltak må baseres på risikovurderinger. Når vi gjennomfører en risikovurdering er det tre variabler som sammen danner grunnlaget for risiko relatert til tilsiktede uønskede handlinger: Verdi, trussel og sårbarhet. Verdivurdering skal svare på hva som vil skape størst konsekvens for virksomheten, eller samfunnet, dersom verdien blir ødelagt, kompromittert eller borte. Når det gjelder trusselen er det som tidligere nevnt svært vanskelig å si noe presist om hvordan, hvor og når en trusselaktør vil velge å angripe. Sårbarhetene til en verdi er verdiens manglende evne til å motstå en uønsket hendelse. Med andre ord er risiko relatert til intenderte villede handlinger et uttrykk for forholdet mellom trusselen mot en gitt verdi og denne verdiens sårbarhet overfor den spesifiserte trusselen.

Sikringstiltakene som skal redusere sårbarhetene til en virksomhet er vanligvis svært kostbare, og vil ofte være ment å skulle ha en varighet på 15-20 år. Det er ikke hensiktsmessig, effektivt eller kostnadseffektivt å vurdere truslene mot en virksomhet fra dag til dag og justere sikkerhetstiltakene i forhold til dagens trussel. Implementering av sikkerhetstiltak er ofte tidkrevende og kostbart, og det vil ikke være mulig å ha et system for dagens sikringstiltak.

Grunnsikring er i realiteten vår sikkerhet

I det nye sikringsparadigme er grunnsikring bærebjelken i enhver virksomhets sikringstiltak. Det er grunnsikringen, altså det daglige sikkerhetsnivået, som skal beskytte virksomheten mot ondsinnede handlinger. I de aller fleste tilfeller, fra hverdagskriminalitet til ulovlig etterretning og terror er det grunnsikringen som skal være barrieren som beskytter virksomhetens verdier. Det kan ikke lenger forventes at sikkerhetstjenestene og politiet vil kunne varsle virksomheter i forkant av en hendelse med påfølgende iverksettelse av sikkerhetstiltak. Terror rammer hovedsakelig uten forvarsel, vinningskriminalitet likeså. Etterretningsoperasjoner og industrispionasje mot norske virksomheter vil aldri varsles, det er etterretningens natur. Den foregår fordekt og i det skjulte. I enkelte tilfeller kan det tenkes at sikkerhetstjenestene kan varsle om økt terrortrussel, og norske virksomheter gis tid til å skjerpe beredskapen. Men som alle vellykkede terroranslag i Europa de siste 13 år har vist, de kommer overraskende og uten forvarsel. PST har sluttet å gradere terrortrusselen fra lav til ekstrem og beskriver heller trusselen slik de ser den. Dette har blant annet bakgrunn i at det er svært vanskelig å sette et nasjonalt trusselnivå som gjelder for hele landet, og at trusselbildet er svært dynamisk.  

For å finne et balansert og godt grunnsikringsnivå er det avgjørende at norske virksomheter gjennomfører en grundig sikringsrisikoanalyse. Hvilke verdier, trusler og sårbarheter har virksomheten, og hva er sikringsambisjonen?

Etterretning skaper trusselforståelse

Etterretning kan beskrives som en systematisk innsamling, bearbeiding og analyse av informasjon. Ettersom trusselen er den variabelen i sikringsrisikoanalyse som det knytter seg mest usikkerhet til, er bruken av etterretning avgjørende for å skape en god trusselforståelse. Dette er et arbeid som de ulike virksomhetene hovedsakelig må gjøre selv. Noen få spesielle virksomheter vil kunne få en trusselvurdering utarbeidet av PST, men den store majoriteten av virksomheter i Norge vil måtte lage sin egen trusselvurdering. Ettersom resultatet av en sikringsrisikoanalyse i stor grad vil påvirkes av trusselvurderingen, er det avgjørende at trusselvurderingen er basert på en grundig etterretningsprosess. Så dersom virksomheten ikke har kompetanse på etterretning og trusselvurdering er det svært viktig at virksomheten erverver seg slik kompetanse. 

Gode og balanserte sikringstiltak er ikke nødvendigvis veldig synlige

Det har blitt igangsatt flere store sikringsprosjekter i Oslo og andre steder, spesielt etter etter 22. juli. Dette er en tidkrevende prosess med mange variabler som skal på plass: risikovurderinger, valg av tiltak som fortsatt fremmer åpenhet og tilgjengelighet, finansiering, reguleringsplaner, anbudsrunder osv. Det er etablert mange tiltak i Oslo og andre steder i landet som ikke nødvendigvis framstår som sikringstiltak, hvilket også er meningen. Selv om man ikke ser kjøretøybarrierer og bevæpnet politi betyr det ikke at det ikke er sikring tilstede. Det finnes i dag estetiske, funksjonelle og effektive sikringstiltak. I dag finnes det for eksempel gode kjøretøybarrierer utformet som sykkelstativ eller benker. Det er ikke lenger nødvendigvis en konflikt mellom sikring og åpenhet som mange frykter. Moderne sikringstiltak kan like gjerne framme et åpent og levende miljø.

Forebygging framfor krisehåndtering

Forebyggende arbeid som vedlikehold av sikringsrisikoanalyser, utvikling og vedlikehold av planverk, sikringstiltak, kulturutvikling og kontinuerlig bevisstgjøring må til enhver tid vies oppmerksomhet – man kan ikke lenger basere sikringsstrategien på tidlig varsling av en trussel i utvikling. De menneskelige, organisatoriske og teknologiske sikkerhetstiltakene krever fokus og revisjon. Beredskapsplaner og kriseplaner må øves og vedlikeholdes. Dersom en alvorlig hendelse rammer virksomheten, til tross for gode sikringstiltak, er det avgjørende at virksomheten har gode kriseplaner og en beredskapsorganisasjon som er øvet. 

Ikke glem grunnberedskapen

Tidligere president Dwight D. Eisenhower uttalte i sin tid at "plans are worthless, but planning is everything”. Fundamentet for evnen til å håndtere kriser ligger i forberedelsene; planverk, trening, øvelser, samhandling og tankesett. Robuste organisasjoner som er trent og forberedt håndterer kriser mer optimalt.

Kompetanse i beredskap og krisehåndtering krever systematisk arbeid med planverk, personell og ledelse. Det er et lederansvar å tilrettelegge for at oppgavene kan løses på en god måte ved at det stilles krav, og at ansatte tilbys trening og sikres nødvendig kompetanse.

Profesjonell forebygging og håndtering av alvorlige hendelser forutsetter at de ansvarlige utvikler kunnskap om risikoer de står overfor, og aktivt innretter sin atferd og sitt planverk deretter.

Risikoforståelse dannes gjennom risikoanalyser, og risikoforståelse bestemmer om man øver, hva man øver på og hva man lærer av øvelser. Når det haster med å handle, blir man sjelden bedre enn forberedelsene tilsier.

Evaluering og debrief etter øvelser og reelle hendelser bidrar til å avdekke endringer og tiltak som bør iverksettes for å skape forbedring. Bare ved å jobbe systematisk og langsiktig vil virksomheten oppnå læring og endre kultur og holdninger.

For dem som mener sikring, trening og beredskap er dyrt - hva koster en katastrofe?

comments powered by Disqus