4 Risiko- og sårbarhetsanalyse av kunnskapssektoren
Samfunnssikkerhetsinstruksen stiller krav til at departementet utarbeider og vedlikeholder systematiske risiko- og sårbarhetsanalyser av tilsiktede og utilsiktede hendelser som kan true departementets og sektorens funksjonsevne og sette liv, helse og materielle verdier i fare.9 Analysen skal ta utgangspunkt i overordnede nasjonale planleggingsgrunnlag som krisescenarioer, oversikt over kritiske samfunnsfunksjoner og andre strategiske dokumenter om risiko, trusler og sårbarhet. Analysen kan, der det er naturlig, bygge på analyser og vurderinger gjort av underliggende virksomheter. Kunnskapsdepartementet gjennomfører en helhetlig risiko- og sårbarhetsanalyse av sektoren (Sektor-ROS) med noen års mellomrom. Analysen som ble gjennomført i 2020 ble delt med KDs underliggende virksomheter, men er unntatt offentlighet. På bakgrunn av Sektor-ROS og en vurdering av mulige tiltak skal departementene vurdere, beslutte og gjennomføre tiltak slik at sårbarheter og svakheter blir redusert innenfor hele sektoren. Utover arbeidet med den helhetlige risiko- og sårbarhetsanalysen for sektoren vurderes enkeltstående scenarioer fortløpende.
Analysen tar for seg alvorlige farer og trusler som kan ramme sektoren og gir anbefalinger om hva som kan gjøres for å redusere den risiko som foreligger. Analysen viser at sektoren kan bli rammet av svært ulike typer hendelser, ofte preget av at det er store samlinger av mennesker på avgrensede områder.
Sektor-ROS 2020 tar for seg scenarioer innenfor blant annet smittsomme sykdommer, ulykker, vold, terror og digitale hendelser. Analysen tok utgangspunkt i de 25 krisescenarioene som i 2019 forelå fra DSB.10 Det ble vurdert hvordan disse eller lignende scenarioer ville kunne ramme kunnskapssektoren. ROS-analyser fra underliggende virksomheter og kommuner samt nasjonale trusselvurderinger bidro med ytterligere scenarioer for analysen. Totalt har analysen tatt for seg 20 scenarioer.
Nedenfor redegjør vi for fire av scenariene som var inkludert i KDs Sektor-ROS 2020; skoleskyting, pandemi, digitale angrep og sammensatte trusler. Dette er scenarioer som vurderes til høy risiko i Sektor-ROS. De trekkes frem her som aktuelle scenarioer som også virksomhetene i sektoren kan vurdere å inkludere i sine ROS-analyser. Relevansen av de fire scenarioene vil variere mellom virksomhetene.
I den grad det nevnes krav i dette kapittelet vises det til kapittel 5 om grunnleggende tiltak og kapittel 6 om informasjonssikkerhet der kravene (og anbefalinger) forklares nærmere.
4.1 Skoleskyting
Både KD i Sektor-ROS 2020 og DSB beskriver skoleskyting11 som et scenario som det norske samfunnet bør planlegge for. Scenarioet vurderes til å medføre store konsekvenser. KD vurderte ikke sannsynlighet av tilsiktede hendelser i Sektor-ROS for 2020.
KD gjorde sin egen analyse av et slikt scenario i 2015 og denne analysen ble tatt med inn i Sektor-ROS 2020. Analysen bygde på DSBs krisescenario terrorangrep i by. Senere samme år utarbeidet DSB et scenario rundt en fiktiv skoleskyting ved en videregående skole på et tettsted i Nordland.
DSBs risikoanalyse av skoleskyting er basert på informasjon fra forskning, granskingsrapporter og medieomtale av skoleskytinger i andre land. Representanter fra departementer, direktorater og lokale myndigheter har bidratt i arbeidet. Analysen tar for seg bakgrunn, drivkrefter og kontekst for skoleskyting og konkluderer med at forutsetningene for skoleskyting er til stede også i Norge.
DSB peker på at systematisk arbeid med et inkluderende læringsmiljø, forebygging mot mobbing, gode psykososiale tjenester og samarbeid om lokale beredskapsplaner, er med på å redusere risikoen for skoleskyting her i landet.
DSB trekker frem fem viktige tiltak for å forebygge skoleskyting. Dette er tiltak identifisert av DSB. KD mener at de må leses som sterke anbefalinger, men de er ikke krav til virksomheter i sektoren:
- Forebygge utenforskap
- Koordinering av instansene som er involvert i forebyggende arbeid og oppfølging av den enkelte elev (skolen, skolehelsetjenesten, kommunehelsetjenesten, politiet, barnevernet m.fl.)
- Beredskapsplan for skoleskyting ved den enkelte skole, og den må øves
- Lærere, skolehelsetjeneste og andre relevante aktører må ha nødvendig kunnskap om skoleskyting og den typiske gjerningspersonen
- Bygningsmessige tiltak (talevarslingsanlegg, rømningsmuligheter)
I Sektor-ROS 2020 er det utarbeidet flere scenarioer innunder kategoriene politisk motivert vold og hevnmotivert vold. Hendelser innenfor disse kategoriene kan ramme de ulike delene av KDs sektor.
Departementet forventer at høyere utdanningsinstitusjoner regelmessig vurderer egne beredskapsplaner og gjennomfører øvelser knyttet til alvorlige hendelser. Se mer om dette i kapittel 5.
KD legger til grunn at kommunen og skoleledelsen regelmessig vurderer om egne beredskapsplaner, både på kommunalt nivå og skolens nivå, i tilstrekkelig grad dekker alvorlige tilsiktede hendelser som skoleskyting. Øvelser må gjennomføres på en måte som ivaretar skolens behov for å være forberedt på en alvorlig hendelse, men uten å virke skremmende på elevene.
4.2 Pandemi
KD har i Sektor-ROS vurdert hvordan en pandemi kan ramme egen sektor. Covid-19-pandemien har påvirket KDs sektor i stor grad. Pandemien har samtidig gitt både departementet og virksomhetene i sektoren svært verdifull erfaring med krisehåndtering, men også forebyggende arbeid og beredskapsarbeid. Pandemi er blant de av DSBs krisescenarioer som kommer høyest opp i risikomatrisen, hvor det vurderes til høy risiko, med høy sannsynlighet og svært store samfunnsmessige konsekvenser. En alvorlig pandemi er dermed en av de største utfordringene for samfunnssikkerheten.
Nasjonal beredskapsplan for pandemisk influensa (Helse- og omsorgsdepartementet 2014) fastslår at det er viktig at både helsetjenesten og andre samfunnssektorer er godt forberedt på å kunne håndtere en influensapandemi. Den nasjonale beredskapsplanen skal sikre felles nasjonal planlegging og håndtering av en pandemi. Beredskapsplanen fastsetter ansvar og fordeler oppgaver for håndteringen på en rekke instanser, både i og utenfor helsetjenesten. Det er et mål at man under en pandemi skal kunne opprettholde nødvendige samfunnsfunksjoner innen alle samfunnssektorer så langt det er mulig. Alle sektorer må være forberedt på en pandemi med høyt sykefravær. Den nasjonale beredskapsplanen revideres høsten 2021.
Barnehage- og skolebarn samt ansatte i barnehager/skoler er utsatte grupper ved en eventuell pandemi. I flere pandemier har barn blitt lett smittet, og i barnehager/skoler/SFO er mange barn samlet. Myndigheten til å stenge institusjonene ligger iht. smittevernloven hos den enkelte kommune (gjelder også private barnehager/skoler). Helsemyndighetene kan fatte vedtak om stenging av slike institusjoner for hele eller deler av landet. Behovet for omfattende stenging må nøye avveies mot de store samfunnsmessige ringvirkningene dersom mange friske arbeidstakere må være hjemme med friske barn på grunn av stengte barnehager, skoler eller SFO.
Skole- og barnehageeier skal påse at virksomheten har etablert et system for best mulig å forebygge sykdom og har ansvar for at de ansatte gis relevant og tilstrekkelig opplæring i dette. Leder i skole og barnehage er ansvarlig for at elever og barn vernes mot eventuelle helseskader og for å iverksette de tiltak som er nødvendig (forskrift om miljørettet helsevern i barnehager og skoler). Stenging på grunn av sykdom blant personalet bør søkes unngått gjennom planlegging av gode vikarordninger.
KD stiller krav til at alle de underliggende virksomhetene i sektoren utarbeider en egen pandemiplan. Denne skal oppdateres ved behov slik at man er forberedt dersom et pandemiutbrudd skulle inntreffe. Se kap. 5 for mer om dette. KD forutsetter at også kommunene og private aktører gjennomgår og oppdaterer sine pandemiplaner ved behov. Se for øvrig også kap. 5 om krav til kontinuitetsplan for virksomhetene.
4.3 Digitale angrep
Sektor-ROS 2020 omfattet flere scenarioer med digitale angrep mot infrastruktur i KDs sektor. Scenarioene ble vurdert til fra middels til høy risiko med store konsekvenser. KD vurderte ikke sannsynlighet for tilsiktede hendelser.
Nasjonalt cybersikkerhetssenter (NCSC) i NSM observerer ulike typer digitale operasjoner mot norske mål, inkludert mot virksomheter som ivaretar viktige samfunnsfunksjoner. En gjennomgående erfaring er at digitale operasjoner blir mer sofistikerte og komplekse, og at hendelseshåndtering er tid- og ressurskrevende. En annen erfaring er at løsepengevirus i økende grad rammer norske virksomheter. NSM har i flere år rapportert om at det er kjente sårbarheter som benyttes for å gi uautorisert tilgang til systemer og nettverk. Det digitale risikobildet preges av dette.
NSM ser at målrettede og ikke-målrettede digitale angrep treffer bredere enn tiltenkt, og understreker at de som ikke har beskyttet seg må forvente å bli rammet. NSM, Politiets sikkerhetstjeneste (PST), Etterretningstjenesten og Kripos ser et jevnt trykk av nettverksbaserte etterretningsoperasjoner fra statlige eller statstilknyttede aktører mot norske myndigheter og virksomheter.
Behovet for åpenhet og internasjonalt samarbeid i akademiske miljøer innebærer sårbarhet for at fremmede etterretningstjenester kan utnytte blant annet legitimt forskningssamarbeid for å skaffe sensitiv informasjon og teknologi fra norsk forskning. Norske forsknings- og høykompetansemiljøer innen flere fagfelt er av stor interesse for fremmed etterretning. NSM anbefaler at myndigheter og forskningsinstitusjoner samarbeider om bevisstgjøring og kompetanseheving om risiko knyttet til fremmed etterretning i forsknings-, utviklings- og teknologimiljøer.
I Units (nå HK-dir) Risiko- og tilstandsvurdering 2021 vurderes risikoen for skadevarehendelser, særlig større løsepengevirusangrep, som høy. Risikoen for kompromitterte kontoer (at en trusselaktør tar kontroll over brukerkontoer) vurderes også som høy, og i 2020 ble det rapportert om opp mot 300 tilfeller av kontoer på avveie.12
NSM erfarer at mange virksomheter fortsatt mangler kompetanse på gjennomføring av risikovurderinger.13 NSM er av den oppfatning at norske virksomheter er bedre rustet mot uønskede digitale hendelser hvis de følger rådene i NSMs Grunnprinsipper for IKT-sikkerhet, jf. kap. 6.5.
KDs underliggende virksomheter skal ha planer for å forebygge, avdekke og håndtere cyberangrep og skal være tilknyttet ressursmiljøer som kan bistå i arbeidet. KD forutsetter at øvrige virksomheter i alle deler av sektoren gjør tilsvarende.
Se kapittel 6 – informasjonssikkerhet – for omtale av sentrale tiltak for å forebygge og håndtere cyberangrep.
4.4 Sammensatte trusler
Sammensatte trusler er en betegnelse på strategier for konkurranse og konfrontasjon under terskelen for væpnet konflikt. Ulike typer virkemidler brukes i kombinasjon for å nå strategiske målsettinger. Virkemidlene kan være åpne og fordekte, militære og ikke-militære, i det fysiske og i det digitale rom.14 De ulike virkemidlene brukes gjerne bredt distribuert og med en langsiktig tilnærming. Sammensatte trusler kan fremstå som en utfordring for samfunnssikkerheten, men er rettet mot statssikkerheten. Det kan også være krevende å skille mellom legitime handlinger, utilsiktede effekter og en tilsiktet ondsinnet handling. Sammensatte trusler er i sin natur komplekse og gjenstridige problemer som utfordrer tidlig varsling, omforent situasjonsforståelse og samordnet håndtering.
Fenomenet er i prinsippet ikke noe nytt og eksempler på sammensatte trusler kan spores tilbake til antikken. Men dette er spesielt aktuelt i vår tid, fordi sammensatte truslers betydning ser ut til å øke relativt til militær maktanvendelse.
Et av virkemiddelene som knyttes til sammensatte trusler er påvirkningsoperasjoner. Her benyttes blant annet desinformasjon for å undergrave tillit eller påvirke politiske prosesser ved å forsterke konflikter, skape usikkerhet eller likegyldighet til sannhet og fakta. En påvirkningsoperasjon kan for eksempel være lekking av stjålet konfidensiell informasjon for å svekke verdier som akademisk frihet og åpenhet. Det kan også være digital mobbing eller utpressing for å hindre ytringer, eller for å få tilgang til forskning.
I Sektor-ROS 2020 analyserte KD et scenario rundt påvirkning av skoleelever forut for et skolevalg. De samlede konsekvensene ble vurdert til små, men det er mulig å se for seg at virksomheter og enkeltindivider innenfor KDs ansvarsområde kan bli utsatt for sammensatte trusler som kan få alvorlige konsekvenser. Barn og unge kan blant annet bli påvirket av målrettede cyberoperasjoner i sosiale medier som enten er rettet mot å skade kunnskapssektoren eller å skape uro og forvirring i samfunnet. Virksomhetene i sektoren bør ha en bevisst holdning til denne typen trusler, ikke minst er det viktig å se ulike hendelser eller aktiviteter i sammenheng. DSBs krisescenario om legemiddelmangel viser et eksempel som kan knyttes til sammensatte trusler: Desinformasjon om knapphet på legemidler fører til hamstring som deretter skaper reell mangel på viktige legemidler.