Spionasje, phishing, trusler og utnyttelse. Dette er bare noen av farene som lurer for både små og store virksomheter i vår bransje, skal vi tro topptunge eksperter som bidro på Byggenæringens Landsforening (BNL)s frokostmøte om dette temaet nylig. Men sikkerhetshull kan forebygges og lappes, blant annet gjennom samme systematisk metodikk bransjen har tatt i bruk innenfor HMS.

Et stort knippe kriser

Lars Jacob Hiim, administrerende direktør i Boligprodusentene, ledet det digitale frokostmøtet hvor trusselbildet ble beskrevet både på makronivå og mer bransjenært. I sin innledning la han vekt på at sikkerhet nok ikke står høyt nok på agendaen hos alle i vår verdikjede, til tross for at verden er blitt mer usikker. Globalisering og digitalisering gir oss store muligheter, men byr også på nye former for trusler vi kanskje ikke har tatt høyde for. Mange kan være interessert i informasjon fra en bransje som har tilgang til bygg og infrastruktur.

– Tidligere kom en og en krise, nå står vi i et knippe, det vi kaller “Polycrisis: Globalisering går i retning av polarisering, Russland har invadert Ukraina og har ambisjoner om mer, Kinas demokratiske utvikling har stoppet opp, og en konflikt mellom Kina og USA vil stanse kritiske forsyningslinjer. I tillegg har vi klimaendringene som ikke lar seg snu, et nytt kjernefysisk våpenkappløp, stadig nye konflikter, flere flyktninger som igjen krysser Middelhavet, autoritære statsledere og stadig færre demokratier. Og hvordan vil kunstig intelligens og teknologiutviklingen styre hverdagen vår? Det gir oss mange muligheter, men også muligheter som noen vil ønske å utnytte, sa direktør Odin Johannessen i Næringslivets sikkerhetsråd. Han var første eksterne innleder ut på seminaret.

Johannessen var opptatt av at også BAE-bransjen må se trusselbildet rundt oss.

– Kjenn deres egne verdier, og erkjenn at dere er en del av en verdikjede. Selv om man bare jobber nasjonalt er alt nå internasjonalt, man kan utsettes for trusler eller utnyttes via teknologi. Nok sandkorn av informasjon blir et byggverk til slutt. Det er alles ansvar å lage gode beredskapsplaner. Men det finnes hjelp å få, understreket han.

Fra safety til security

Seniorrådgiver Christopher McCabe jobber i Nasjonal Sikkerhetsmyndighet (NSM). Han fortalte om hvordan og hvorfor beskyttelse av nasjonale sikkerhetsinteresser som suverenitet, integritet og demokrati også er relevant for lokale bedrifter for eksempel i byggenæringen. Som følge av en ny, nasjonal verdikartlegging vil stadig flere virksomheter bli underlagt sikkerhetsloven.

– Dere må gjøre dere kjent med sikkerhetsloven og vurdere hvordan dere berøres. Bygg i nærheten av eiendommer av sikkerhetsmessig betydning vil bli påvirket, og i anskaffelsesprosesser må dere gjøre verdimessige vurderinger i tillegg til de økonomiske. Det er lett å la seg friste av lave priser, men det må gjøres risikovurderinger også mot nasjonale interesser. Tilgang til informasjon og informasjonssystemer, objekter, infrastruktur, plantegninger og kontrakter er gull verdt for leverandører med onde hensikter, sa McCabe.

Han ønsker også at BAE-bransjen jobber med å utvide sitt perspektiv fra "safety" som for eksempel HMS, til "security" hvor også immaterielle trusler inngår. McCabe mener at bransjen har stor overføringsverdi å hente fra god safety-kompetanse. Til støtte i dette arbeidet har NSM også produsert to nyttige veiledere; "Veileder i sikkerhetsstyring" og "Håndbok i verdivurdering av informasjon".

Større angrepsflate

Fra det internasjonale og nasjonale trusselbildet beveget seminaret seg over til nærere forhold. Cecilie Giil, seniorrådgiver for digital utvikling og IT i NHO, fortalte om arbeidet NHO gjør for å bygge en god sikkerhetskultur blant annet gjennom informasjonssikkerhet. Hun viste til at 74 prosent av alle digitale angrep involverer menneskelige feil, og at hele 35 prosent av mottagerne av phising-e-poster lar seg lure og åpner dem. Derfor er (bevisste) brukere det beste forsvar mot slike angrep. Hun understreket også at angrepsflaten øker, og angrepsmetodene blir stadig mer sofistikerte. Derfor har NHO et eget brukerbevissthetsprogram, og dessuten gode råd for hva man skal gjøre hvis uhellet først er ute.

Til å ivareta bransjeperspektivet hadde BNL invitert teknisk direktør Jon Steinar Sjøvik Hanestad i NELFO. Han fastslo at underleverandører er definert som det mest sårbare punktet i deres virksomhet, og at det lett kan oppstå sikkerhets­hull når man leverer tjenester til produksjon av bygg.

– Man må ikke gå i fella og tro at man ikke kan rammes selv om man er en liten bedrift. Angrep rammer ofte bredt. Når noen slutter er det minst like viktig å blokkere innlogging til virksomhetens systemer som det er å samle inn nøkler og kort. Men gjør gjerne sikkerhetstester ved å la folk kle seg ut i arbeidsklær og se om de kommer seg inn i bygget, oppfordret Sjøvik Hanestad.  

I en avsluttende diskusjon mellom innlederne kom det flere gode råd om hvordan man kan forebygge sikkerhetsbrudd på arbeidsplassen. Man må jobbe forebyggende og strukturert, og ha beredskapsplaner hvis noe skulle skje. Det er viktig å kartlegge personopplysninger, sørge for å ha oppdaterte systemer som håndterer persondata og holde orden på passord. Men først og fremst jobbe med den interne sikkerhetsforståelsen – hvor vi er og hvor vi er på vei. Også en liten eller mellomstor bedrift kan produsere eller ha innsikt i noe større som kan påvirke nasjonale interesser frem i tid.

Se opptak

Her kan du se webinaret i ettertid.