Høringssvar fra Tor-Magnus Horten

Dato: 20.09.2018

Svartype: Med merknad

Generelt.

Flott at kravene i forskriftene har blitt mer funksjonsbasert. «Forsvarlig sikkerhetsnivå» er etter min mening et svært godt utgangspunkt!

Jeg arbeider for Forsvarsbygg og Nasjonalt kompetansesenter for sikring av bygg som arkitekt og sikkerhetsrådgiver og gir tilbakemeldig på bakgrunn av denne erfaringen.

Tilbakemeldingene går hovedsakelig på begrepsbruk og definisjoner, og er ment å gi et konstruktivt bidrag til en enda tydeligere formidling av premisser for forebyggende sikkerhetsarbeid.

Jeg er av den oppfatning at presis kommunikasjon og effektiv formidling av innhold, betinger logisk og konsekvent begrepsbruk. I utkastet til forskriftene er det i lys av dette noen begreper det kan være hensiktsmessig å se nærmere på:

 

Generell tekst og spesifikke begrep knyttet til sikkerhetsarbeid:

Det kan med fordel anvendes mer alminnelige begrep i generell tekst, som ikke blander seg i begrepene som benyttes i direkte beskrivelse av sikkerhetsarbeid.

Eksempel: «Virksomheten skal etablere et styringssystem for sikkerhet som skal sikre at virksomheten oppfyller kravene i eller med hjemmel i sikkerhetsloven»

Her kunne med fordel ordet «sikre» blitt byttet ut med «sørge for», slik at begrepene som omhandler sikkerhet, sikring, skjerming og beskyttelse kan benyttes direkte i beskrivelsen av forbyggende sikkerhet, og ikke vaskes ut blandt øvrig brødtekst.

Dette gjelder mange steder i teksten.

 10 Utkast til forskrift om virksomhetens arbeid med forebyggende sikkerhet. 

Skjermingsverdig:

«Skjermingsverdig» er et begrep som adresserer ulike type verdier med et behov for sikkerhet. Dette er altså verdier som er verdt å skjerme, skjermings - verdig.

Men i forskriftstekstene skjermes ikke verdiene. De beskyttes. Dette er ikke logisk.

Eksempel (sogar i overskrift): «Kapittel 2. Generelle krav til beskyttelse av skjermingsverdige verdier». Forslag til omgåelse av utfordringen: Benytt «Sikkerhetsprioriterte verdier», eller lignende, og spar skjermingsbegrepet til aktiviteter (se under):

 

Beskyttelse, sikring og skjerming:

Vi har flere begrep som beskriver en aktivitet for å oppnå sikkerhet. Dette er i denne sammenheng hvor vi snakker om tilsiktede uønskede handlinger gjerne; Sikring, skjerming og / eller Beskyttelse. For mer presis formidling i det forebyggende sikkerhetsarbeidet kan det med fordel skilles på disse begrepene med følgende avgrensning:

  • Beskyttelse kan med god korrespondanse med alminnelig forståelse av begrepet benyttes som en aktivitet med hensikt å oppnå et forsvarlig sikkerhetsnivå for personell og materiell, mot våpenvirkninger og annen ødeleggelse. Manglende beskyttelse vil i hovedsak medføre tap av en verdis tilgjengelighet.
  • Beskyttelsestiltak blir ofte tunge og omfattende og bør planlegges så tidlig som mulig i byggeprosjekter for å holde kost/nytte faktoren på et akseptabelt nivå.
  • Sikring kan med like god korrespondanse med alminnelig forståelse av begrepet benyttes som aktivitet med hensikt å oppnå et forsvarlig sikkerhetsnivå for materiell og materialisert informasjon /dokumenter etc. Manglende sikring vil kunne medføre tap av både en verdis tilgjengelighet, integritet og konfidensialitet.
  • Skjerming vil kunne beskrive tiltak aktivitet med hensikt å oppnå et forsvarlig sikkerhetsnivå for formidlet informasjon. Tale, datakommunikasjon (tempest problematikk), samt visuell formidling / eksponering. Skjermingstiltak vil ofte være lettere å tilpasse senere i et byggeprosjekt, være av mer administrativ art enn fysisk og ofte mer fleksible og rimeligere tiltak enn beskyttelse og sikring.

Beskyttelse, sikring og skjerming er vesensforskjellige aktiviteter, med ulik natur, (pris), og virkemåte, og ved en differansiering på begrepsbruken vil man bidra til en mer presis formidling av tiltak knyttet til forebyggende sikkerhetsarbeid.

Eksempel:

Behovet kan være å unngå elektromagnetisk lekkasje av H informasjon ut fra et rom. Kravet som stilles er da gjerne sikring av rom hvor det gis direkte tilgang til H informasjon, altså Sperret H. Med anvendelse av beskyttelse, sikring og skjerming kunne dette blitt beskrevet som skjerming av H informasjon og sikring kun av Beskyttet område. En ganske annen løsning.

Sikkerhet eller sikring?

Dette er to forskjellige begrep som i stor grad holdes adskilt med blandes noe.

Sikkerhet beskriver en tilstand. Sikkerhetsmål beskriver da en målsetting for sikkerhet. Et behov en verdi har for sikkerhet basert på hvor lite verdien kan tapes (skadevurdering - skadeaksept).

Sikring beskriver aktivitet / tiltak for å nærme seg målsettingen om sikkerhet.

Sikringsmål beskriver hvilken målsetting som settes for sikringen, og er avhengig av hvor stor grad av uønsket påvirkning verdien potensielt blir utsatt for (og grad av risikoaksept).

Eksempel: Et sikkerhetsmål som beskriver et høyt sikkerhetsnivå kan godt ivaretas med et lavt nivå av sikring, med følgelig en lav målsetting for sikringen dersom den potensielle uønskede påvirkningen vurderes til å være lav.

Det er flott at det konsekvent benyttes Sikkerhetstiltak eller sikring og ikke sikringstiltak, som ville vært et typisk "smør på flesk" begrep.

Grunnsikring. § 13:

«Grunnsikringstiltak skal bidra til et forsvarlig sikkerhetnivå i virksomheten i normaltilstand.» og «Virksomheten skal planlegg påbyggingstiltak som kan iverksettes dersom risikoen øker utover det grunnsikringstiltakene ivaretar. Påbyggingstiltakene skal kunne iverksettes i løpet av kort tid, og skal kunne avvikles dersom risikoen reduseres til opprinnelig nivå.»

 

Dette er OK, men det mangler et aspekt jeg mener bør med. Derom risikoen øker og tiltakene som må på plass er av en slik art at de ikke kan etableres på kort tid (ikke typiske beredskapstiltak) må disse tiltakene være en del av grunnsikringen. Ellers vil de ikke være gripbare ved behov.

Eksempel: Beskyttelse mot eksplosiver.

Dette er for mange skjermingsverdige verdier, ikke spesielt relevant i normalsituasjon. (F.eks. mange militære installasjoner da terror er mer aktuelt mot sivile mål.) For mange av disse installasjonene vil det i normalsituasjon ikke være særskilt behov for beskyttelse mot eksplosiver. Dersom risikoen øker og det skal iverksettes påbyggingstiltak er det flere nødvendige tiltak som ikke lar seg gjennomføre på kort tid som påbyggingstiltak.

Dette er f,eks. plassering på tomt i forhold til vei etc. Bygningskonstruksjon, spredning av verdier vs konsentrasjon etc. Dette er prinsipper som må planlegges inn i grunnsikringen selv dette egentlig først gir effekt i situasjonen hvor påbyggingstiltakene skal etableres.

Dersom det blir stående slik det nå gjør, vil det være vanskeligere å planlegge helhetlig (fred, krise, krig) i møte med stramme budsjetter og snevre prosjektbeskrivelser.

 

  • 13 a) «fysiske, elektroniske, menneskelige eller organisatoriske barrierer. Her bør det kanskje føyes til et og? (Og / eller organisatoriske barrierer).

Men det viktige: Elektroniske sikringsmidler er også fysiske, men sjeldent en barriere (strømgjerde?) Skillet mellom fysisk og elektronisk sikring er kunstig.

Elektronisk sikring er også fysisk sikring, men i deteksjonssegmentet.

En vakt er også fysisk sikring, i reaksjonssegmentet.

En vegg er også fysisk sikring, og denne sorterer under barriere-segmentet.

Kan forskriftsteksten tydeliggjøre dette bedre? Ta vekk ordet «barrierer» i punkt a f.eks.

 

Dybdesikring §14 punkt c:

I §14, punkt c (s. 98) forklares sikring i dybden med at: «svikt i ett enkelt tiltak skal ikke føre til kompromittering». Dette er en mindre heldig måte å benytte dybdesikringsbegrepet på. Dette vil for konservative sikkerhetsrådgivere bety at det skal planlegges med flere barrierer med samme formål. (Ryker den ene, så har vi den andre. Og ryker den så har vi den tredje osv.) Det kan riktignok være fornuftig i enkelte sammenhenger å ha overkapasitet, eller reserveløsninger, men sikring i dybden bør i større grad beskrives som potensiale i å se helhetlig på sikkerhetstiltakene. Det betyr at det i den etablerte dybden av tiltak, totalt sett er oppnådd nødvendig motstand. Da kan man legge til grunn at alle etablerte sikkerhetstiltak har effekt, (er nødvendige og virksomme), og følgelig verdt å betale for, og formålet med minimalisme som beskrevet i punkt a, blir i større grad tilfredsstilt. Det vil også iunderbygge kravet om at «Sikkerhetstiltakene skal være samordnet slik at de ikke fragmenteres eller dupliseres unødvendig».

 

Balansert styrke. §14 e:

Denne beskrivelsen vil også gjelde i de små ting, ikke bare nasjonalt mellom ulike skjermingsverdige verdier. Dette også vesentlig mellom ulike bygningselementer. Det hjelper lite å ha en sterk dør om veggen er svak. Styrken i tiltakene må balanseres.

 

Evaluering av produkter og tjenester. §15 og 16

«Evalueringen skal utføres i samsvar med ISO og IEC –standarder». Dette er et for snevert krav. Det bør være anledning til å gå god for åpenbare tilfredsstillende løsninger som ikke nødvendigvis er testet iht. overnevnte standarder. Kravet om at valg av løsning dokumenteres og at argumentasjonen samt eventuelt utprøving / testing er etterprøvbar er dog rimelig.

 

 

Med vennlig hilsen:

 

 

Tor-Magnus Horten

Arkitekt MNAL / Sikkerhetsrådgiver

Nasjonalt kompetansesenter for sikring av bygg

 

Forsvarsbygg

 

Telefon: 815 70 400

Mobil: +47 913 79 283

Internett: www.forsvarsbygg.no

 

Besøksadresse: Grev Wedelsplass 5

Postadresse: Postboks  405 Sentrum, 0103 Oslo

 

Til toppen