Vurdering av forebyggende sikkerhet innen kraft, petroleum og luftfart - sluttrapport til Sikkerhetsutvalget

Abstract

På oppdrag fra Sikkerhetsutvalget, oppnevnt 27. mars 2015, har FFI gjennomgått håndtering av forebyggende sikkerhet i sektorene kraft, petroleum og luftfart. Det er identifisert svakheter og anbefalt tiltak i forbindelse med revisjon av sikkerhetsloven med forskrifter. Studien viser at sektorene er godt organisert, men at regulering og håndtering av forebyggende sikkerhet av naturlige årsaker er svært forskjellig. God sikkerhet innen luftfart krever utstrakt internasjonalt samarbeid under felles regelverk. Luftfartsloven med tilhørende forskrifter er av den grunn sterkt preget av EU-rettsakter som detaljert regulerer sikkerheten og anviser løsninger. Sikkerhet i kraftsektoren er knyttet til forebyggende arbeid overfor naturgitte hendelser, og er i tillegg preget av etterkrigstidens krigs- og sabotasjeforebyggende tenkning. Sektorens beredskapsorganisasjon er godt regulert med tydelig fordeling av ansvar og myndighet. Forebyggende beredskap håndteres med god regulering, systemtilnærming og redundans. Utviklingen av petroleumsressursene på sokkelen har med stor suksess foregått i nært samarbeid med bransjen, noe som har brakt mye teknologi til landet. I petroleumssektoren drives også sikkerhetsarbeid, men med svak styring fra myndighetene. Rapportens anbefalinger er basert på gjennomgang av lover, forskrifter og regelverk, samt relevante og tilgjengelige utredninger, hendelses- og øvelsesrapporter. I tillegg er det gjennomført samtaler og diskusjoner med relevante aktører i sektorene. De viktigste anbefalingene er:  Det er behov for å styrke Forsvarets og justis- og beredskapssektorens formidling av trusselbildet til øvrige sektorer. Det langsiktige trusselbildet bør danne grunnlag for etablering av tverrsektorielle scenarioer og scenarioklasser som vedtas av regjeringen og gjøres gjeldende for beredskapsarbeidet i alle sektorer.  «Økonomisk og finansiell handlefrihet» bør inkluderes som kriterium ved valg av skjermingsverdige objekter. Et «skjermingsverdig objekt» bør knyttes til kritiske samfunnsfunksjoner og relateres til et nytt begrep; «skjermingsverdig system». Et skjermingsverdig system er et system innen kritiske samfunnsfunksjoner som må beskyttes ved overvåkning, grunnsikring av objekter eller redundans.  Det anbefales sikkerhetsklarering av i) personell med tilgang til sikkerhetsgradert eller sensitiv informasjon (sikkerhetsklarering), og ii) personell med adgang til kritiske anlegg, men uten behov for tilgang til sensitiv informasjon (adgangsklarering). Kriteriene for klarering bør være de samme for alle sektorer.  Det anbefales at sektordepartementene kan pålegge virksomheter å delta i NorCERTs nasjonale varslingssystem for digital infrastruktur (VDI). Det bør også etableres bransjespesifikke CERT-er for alle sektorer hvor driftskontrollsystemer er avgjørende for sektorens virksomhet.

On contract by the Norwegian Commission for Protective National Security, FFI has studied the regulation and handling of security in three sectors; electric power, petroleum and aviation. Weaknesses are identified, and measures related to the revision of the Security act and its regulations are recommended. This study shows that the sectors are well organized, but with significant differences regarding regulation and management of security. Within the aviation sector, the security system requires extensive international cooperation under common rules. The Aviation Act and associated regulations are therefore strongly influenced by EU legislation, which in detail regulates Security and advices on solutions. Security in the electric power sector is linked to preventive security against natural disasters, and seems to be influenced by the post-war security culture. This sector's emergency response organization is well regulated with clear allocation of responsibility and authority. Security management is characterized by welldefined regulations, system approach and redundancy. The petroleum sector has been successfully developed in close cooperation between the government and the industry, which has brought a lot of technology to the country. Management and regulation of security is welldeveloped in this sector, however, but with weak governmental management. The recommendations provided in this study are based on a review of laws, regulations and rules, as well as relevant and available reports. In addition, meetings and discussions with several relevant stakeholders in the sectors have contributed to the study. The main recommendations are:  The Ministry of Defense and the Ministry of Justice should strengthen their communication to other sectors on the relevant threats. The long-term threat definition should form the basis for developing inter-sectoral scenarios and scenario classes used as the basis for measures and management of national security.  "Economy and financial flexibility" should be included as a criterion when selecting “Sensitive object”. A "Sensitive object" should be linked to critical infrastructure and related to a new term; "Sensitive system."  Security clearance should be performed for i) personnel with access to classified or sensitive information (security clearance), and ii) personnel with access to critical facilities, but with no need for access to sensitive information (entry clearance). The clearance criteria should be common for all sectors.  The sector ministries should have the authority to require that companies and enterprises shall participate in NorCERT’s national warning system for digital infrastructure (VDI). All sectors where SCADA (Supervisory Control And Data Acquisition) systems are essential should establish specific CERT functions.