– Næringslivet må forberede seg bedre på hybride trusler

Krigen i Europa kan føles fjern, men den kommer stadig nærmere med hyppigere hybride angrep på infrastruktur i våre nærområder. Næringslivet må kjenne sine sårbarheter, hvilke verdier som må beskyttes og de må vite mest mulig om hvilke trusselaktører og hvilke digitale angrepsmetoder som kan være aktuelle.

Det er direktør i Næringslivets sikkerhetsorganisasjon, Knut Oscar Gilje sin klare oppfordring til industrien.

Fysiske hybride angrep

Det kan være vanskelig å oppdage hybride angrep. De kamufleres ofte som hverdagslige handlinger vi ikke legger så godt merke til, men som kan gjøre store skade. Industrien må derfor ha beredskap for disse angrepene. 

– Hybride angrep kan være fysiske som sabotasje og skadeverk – gjerne skjult som kriminalitet, innbrudd og tilfeldige feil. Politiets sikkerhetstjeneste (PST) mener særlig Russland har få hemninger når det gjelder å ta sjanser og involvere kriminelle til å utføre oppdrag som har til hensikt å skade og skremme. Dette betyr at fysiske sikringstiltak må vurderes basert på virksomhetens egne vurderinger av sårbarhet og verdier de må beskytte, sier Gilje.

Hans oppsummering er mer årvåkenhet og færre «hull i gjerdet». I praksis kan det være:

• Gjerder eller stengsler rundt virksomheten 
• Registrer alle besøkende inn og ut av området
• Ha gode rutiner på ansvarliggjøring av den som har invitert eksterne personer når det gjelder kontroll på hvor de kan oppholde seg og hva de kan se
• Finn ut om dere har ubevoktede områder i virksomheten som gjør det mulig for personer å snoke rundt i 
• Vær påpasselig med mobiltelefoner og annet digitalt foto- og opptaksutstyr 
• Overvåkes virksomheten dersom den er ubemannet? 
• Hva slags kontroll har dere med lager i bygg og på uteområder? Kan noe bli borte uten at dere oppdager dette?

­

Digitale angrep

Hybride angrep kan også komme som digitale angrep, påpeker Gilje.

Alle medarbeidere kan bli brukt som inngangsdør til virksomhetens datasystemer, slik Nortura opplevde da en ansatt åpnet sin private e-post på jobb få dager før jul i 2021. Hackerangrepet kostet Nortura titalls millioner kroner.

– Om uhellet likevel er ute er det hjelp å få, men det kan ta tid å gjenopprette datasystemer. Produksjon som må innstilles kan ta tid å få opp igjen dersom styringssystemene har blitt rammet, og bistand etter et dataangrep koster penger, sier Gilje. 

Risikovurderinger må utvides

Hva betyr dette for industrivernpliktige virksomheter? Hybride angrep har ulike utgangspunkt og ulike konsekvenser. Industrivernet er organisert for å håndtere fysiske konsekvenser av uønskede hendelser.

– Industrivern har tradisjonelt fokusert på personskader, branntilløp og gass- og kjemikalielekkasjer. De siste årene har vi sett hvordan naturhendelser også må regnes med når risikovurderingene skal oppdateres. Nå må vi gjøre nye utvidelser av risikovurderingene for å være forberedt på å håndtere konsekvensene av ulike former for fysisk sabotasje, hybride trusler og angrep på datasystemer, oppfordrer Gilje.

­

Utsatte bransjer

Mange bransjer kan være utsatte for hybride angrep, og Næringslivets sikkerhetsorganisasjon mener at alle industrivernpliktige virksomheter må gjøre slike vurderinger så fort som mulig.

– I løpet av 2025 vil vi på våre tilsyn spørre om denne typen vurderinger er planlagt eller gjennomført og om dette er tatt med i øvelsesplanen for både innsatspersonell og redningsstab. For mange vil det kanskje ikke være nødvendig å gjøre store endringer, men vi vil forsikre oss om at alvoret i dagens trusselsituasjon er, eller blir, oppfattet.

Det er store forskjeller mellom ulike deler av næringslivet når det gjelder trusselnivå knyttet til hybride angrep. NSO har følgende generelle antakelser når det gjelder noen utvalgte bransjer med industrivernplikt:

• Industri som produserer forsvarsmateriell vil åpenbart være svært utsatt for direkte og indirekte hybride angrep. Underleverandører til slike virksomheter er minst like utsatt.
• Bransjer som er leverandører til forsvaret direkte og indirekte med verkstedtjenester, transport og lager, vil også være interessante mål for fiendtlige aktører.
• Energi i alle former er vesentlig for opprettholdelse av normale samfunnsfunksjoner. Olje, gass og elforsyning, men også biokraftanlegg vil kunne bli utsatt for både fysiske og digitale angrep. Her vil også underleverandører være mulige mål, både direkte, men også som en vei inn til produsenter og distributører.
• Næringsmiddelindustrien og alle deler av transport og lager som del av kjeden fra jord og fjord til bord må også fungere for at både sivile og militære forsvarslinjer skal fungere. Større forstyrrelser i matleveranser og påfølgende tomme butikkhyller vil skape usikkerhet og uro som vil være uheldig for samfunnets samlede motstandsdyktighet. 
• Vi vet allerede mye om at ulike forsknings- og utviklingsmiljøer er utsatt for industrispionasje. Dette rammer både rene forskningsmiljøer og industrien. Generell årvåkenhet og gode rutiner for sikkerhetssjekk i forbindelse med ansettelser blir spesielt viktig for alle som kan bli utsatt for denne typen risiko.

­

Kan dere bistå andre?

Gilje vil også understreke at industrivernpliktige virksomheter må «løfte blikket» til hendelser som kan skje i nærmiljøet. Er det andre virksomheter, kraftproduksjon eller annen samfunnskritisk virksomhet som kan bli utsatt og dermed vil få behov for bistand? Eller kan dere selv bli utsatt for konsekvenser ved hybride hendelser i nabovirksomheter? I så fall må ledelsen i virksomhetene ta kontakt med hverandre og bli kjent med hverandres farer og beredskapskapasiteter.

– I forskrift om industrivern er det krav for industrivern å samarbeide dersom virksomhetene for eksempel er nabobedrifter. For industrivernpliktige virksomheter gjelder også bistandsplikten. I begge tilfeller er det viktig at både virksomhetene og industrivernene blir kjent med hverandres ressurser, øver og trener sammen, evaluerer og blir bedre sammen. Det er mye å vinne på å kjenne hverandre før en uønsket hendelse skjer, sier Gilje. 

Må øve på «ukjente» hendelser

Det er grunn til å tro at de aller fleste bransjer må forberede seg på flere tilfeller av hybride angrep enn tidligere. For industrivernet handler det om å være forberedt på noe mer krevende håndtering av hendelser som ikke er «normale» eller kjente. De som står bak et hybrid angrep, kan ha planlagt hendelsen slik at det oppstår mest mulig skade. Industrivernet bør derfor også øve på scenarioer i sin virksomhet der hendelsen utvikler seg uvanlig og overraskende. Dette kan innebære nye risikomomenter for innsatspersonellet.

– NSO forventer at alle industrivernpliktige virksomheter gjennomgår og vurderer oppdatering av risikovurderinger, beredskapsanalyser, umiddelbare tiltak og hva som kreves av kvalifikasjoner og utstyr med tanke på mulig relevante hybride trusler. Øv på disse situasjonene og bli best mulig rustet for hybride angrep mot næringslivet og industrien, sier Gilje.