Virksomheters ansvar under koronaepidemien

Publisert: 26.03.2020

Er verdiene i virksomheten endret som følge av pandemien? Er dere mer relevante for trusselaktører? Hva må gjøres?

Hele samfunnet er «satt på hodet» som følge av håndteringen av koronaviruset. Mange rutiner og arbeidsmåter endres markant fra normalsituasjonen. Hjemmekontor blir en viktig del av hverdagen for mange, både for virksomheter underlagt sikkerhetsloven og de som ivaretar viktige samfunnsfunksjoner. Hjemmekontor medfører blant annet økt bruk av fjernpålogging til virksomhetens systemer og telefonmøter. Denne situasjonen kan medføre at det oppstår sårbarheter vi er mer eller mindre oppmerksomme på. Disse sårbarhetene kan utnyttes av trusselaktører.

Etterretnings- og sikkerhetstjenestene arbeider kontinuerlig med å vurdere hvordan trusselaktørene vil handle, og hvordan de vil utnytte kjente eller nye sårbarheter som følge av pandemien.

Vurder din risiko

Det kan, når virksomhetene har etablert rutiner for håndtering av pandemien, være lurt å vurdere risiko for uønskede hendelser på nytt. Dette bør gjøres som grunnlag for eventuelt å iverksette nye tiltak eller justere eksisterende tiltak for å opprettholde et forsvarlig sikkerhetsnivå. I NSMs veileder for sikkerhetsstyring beskrives en prosedyre for risikovurdering. Sentrale spørsmål det er relevant å vurdere i situasjonen vi nå befinner oss i kan være:

  • Har betydningen av din virksomhets skjermingsverdige verdier endret seg som følge av situasjonen?
  • Har din virksomhets relevans for trusselaktørene endret seg på grunn av denne situasjonen? Hva vil en trusselaktør være ute etter hos din virksomhet? Her kan man finne informasjon om trusselaktørenes fokus og metoder i de årlige vurderingene fra PST, E-tjenesten og NSM.
  • Hvordan vil en trusselaktør som ønsker å ramme din virksomhet kunne gjøre det basert på den situasjonen din virksomhet nå befinner seg i – er det noe som har endret seg fra normaltilstanden? Hvordan ville du gått fram for å ramme din egen virksomhet?
  • Hva kan skje dersom en trusselaktør som ønsket å ramme din virksomhet lykkes?
  • Er det noen av de virksomhetene som din virksomhet er avhengig av for å opprettholde drift som nå er særlig sårbare som følge av situasjonen? Hva betyr det i så fall for din egen risikovurdering?

Det kan være nyttig å innhente informasjon fra ulike fagmiljøer i virksomheten for å kunne besvare disse spørsmålene godt og å vurdere hvorvidt det er behov for å iverksette tiltak for å bedre sikkerheten på kort sikt.

Varsle NSM om uønskede hendelser

Alle virksomheter underlagt sikkerhetsloven* skal varsle om uønskede hendelser, jf. sikkerhetslovens § 4-5. Dette gjelder:

  • Om man har blitt rammet av sikkerhetstruende virksomhet**
  • Om det foreligger begrunnet mistanke om at en selv eller andre er rammet eller vil kunne rammes av slik virksomhet
  • Om det har skjedd alvorlige brudd på sikkerhetslovens krav til informasjons-, informasjonssystem-, objekt- eller infrastruktursikkerhet

Slik varsling er avgjørende for at NSM skal kunne bygge det nasjonale risikobildet som virksomhetene igjen er avhengige av for å kunne etablere egne sikkerhetstiltak***. NSM vil på sin side legge til rette for at virksomhetene får tilgang til trussel- og sikkerhetsinformasjon slik at de kan forberede egne sikringstiltak som er tilpasset situasjonen vi står i nå.

Det er ingen formkrav til varsling av uønskede hendelser, men det ligger informasjon på NSMs nettsider om hva et varsel bør inneholde. Varsel om uønskede hendelser sendes til NSM Postmottak på alle graderingsnivåer, eller per post.

E-post:
postmottak@nsm.no (UGRADERT)
postmottak@nsm.nb-nett.no (BEGRENSET)

Postadresse:

Nasjonal sikkerhetsmyndighet
Postboks 14 1306
Bærum postterminal

Digitale akutte hendelser rapporteres til NSM Nasjonalt cybersikkerhetssenter norcert@cert.no

 

Kilder:

* Alle offentlige organer (stat, fylkeskommune og kommune) er underlagt sikkerhetsloven. I tillegg kommer private virksomheter som leverer varer eller tjenester ifb. sikkerhetsgraderte anskaffelser, eller som er underlagt loven etter enkeltvedtak, jf. § 1-3.

** Sikkerhetstruende virksomhet er i sikkerhetsloven definert som tilsiktede handlinger som direkte eller indirekte kan skade nasjonale sikkerhetsinteresser.

*** For ytterligere veiledning vises det til NSMs «Veileder for virksomheters håndtering av uønskede hendelser»