Hvordan bygge god beredskap
Aug 31, 2023Alle virksomheter kan oppleve uønskede hendelser. Alle virksomheter kan oppleve kriser. Og fra tid til annen opplever enhver virksomhet faktisk at noe går galt. Det skjer en uønsket hendelse. Eller det oppstår en krise.
Vi vet at dagen vil komme da noe skjer. Noe som ikke skal skje. Hva gjør vi da? Hva gjør ledelsen i virksomheten? Hva gjør de ansatte? Hva må egentlig gjøres for å redusere konsekvensene av hendelsen? Og ikke minst: Hvem gjør hva?
Den dagen må rutinene være på plass. For den dagen trykker man på den store, røde knappen. Den dagen må prosedyrene være innøvd, og alle må vite hva de skal gjøre. Den dagen må beredskapen være i orden. Hvordan hendelsen håndteres, kan bety være eller ikke være.
Beredskap = å være forberedt
Alt kan skje: IKT-angrep (hacking). Massefravær. En arbeidsulykke. Sabotasje. Svikt hos en leverandør. Brann. Vold mot en ansatt. Trusler rettet mot virksomheten. Og mye, mye mer.
Systematikken i beredskapsplanlegging
Nedenfor skal jeg forklare hvordan du systematisk kan bygge en god beredskap i din virksomhet. Men først: Noen eksempler fra virkeligheten, for å få en følelse av hva det egentlig dreier seg om.
Brannen
Tidlig morgen. På et industriområde på Vestlandet går produksjonen sin vante gang. Helt til en mekanisme på en maskin slutter å virke. Produksjonsmateriale finner veien ut av systemet, og det tar fyr i maskiner og andre gjenstander. De ansatte som er på jobb må evakuere bygningen, og brannen sprer seg. Resten av hendelsesforløpet inneholder brannslukking – både bokstavelig talt, men òg i forhold til media, kunder og offentlige tilsynsmyndigheter. Etter at den fysiske brannen er slukket, må skadene på bygning og maskiner repareres. Det tar flere uker, og samlede tap beløper seg til flere titalls millioner kroner, inkludert produksjonstap.
(Illustrasjonsfoto).
IKT-angrepet
Året er 2021. En Østlands-kommune blir hacket. Dårlig datasikkerhet gjør at uvedkommende klarer å bryte seg inn i IKT-systemene og kryptere alle data. De ansatte må jobbe med penn og papir i ukesvis etterpå (bokstavelig talt). Når IKT-systemene er oppe å gå igjen, er fremdeles alle personopplysninger og andre data i fremmede hender – hos mennesker som høyst sannsynlig har skumle hensikter. Du kjenner kanskje igjen historien? Dette skjedde med Østre Toten kommune. Angrepet kostet rundt 30 millioner kroner å ordne opp i, og på toppen av dét fikk kommunen et overtredelsesgebyr på 4 millioner kroner fra Datatilsynet.
Dette var bare to eksempler. Det fins veldig mange andre eksempler på uønskede hendelser som har skjedd. Og det fins mange eksempler på kriser. Vi vet at de vil fortsette å skje i fremtiden.
Derfor må enhver virksomhet være (for)beredt.
Så hvordan bygger vi en god beredskap?
Alt begynner med å kartlegge risiko, å finne ut hvilke farer som kan true virksomheten. Man kan stille seg følgende tre spørsmål:
- Hva kan skje?
- Hva kan vi gjøre for å redusere sannsynligheten for at det skjer?
- Hva kan vi gjøre for å redusere konsekvensene hvis det likevel skjer?
En risikovurdering tar altså for seg de uønskede hendelsene som kan oppstå i virksomheten, som IKT-angrep, brann, massefravær, arbeidsulykker, og så videre.
Når dere har klart for dere hvilke hendelser som kan ramme virksomheten, og når disse er analysert, er neste steg å lage en beredskapsanalyse.
Beredskapsanalyse
Beredskapsanalysen skal identifisere behovet for personell, utstyr og kompetanse når større hendelser inntreffer. Logikken er enkel: Hvis virksomheten kan håndtere de store hendelsene, så kan den også håndtere de små. Så i beredskapsanalysen gjelder det å finne frem til de store hendelsene som kan inntreffe – de såkalte dimensjonerende hendelsene.
Slik går du frem, steg for steg, for å finne dimensjonerende hendelser:
Først tar du for deg de uønskede hendelsene som ble identifisert i risikovurderingen. De uønskede hendelsene som håndteres noenlunde likt samles i såkalte definerte beredskapssituasjoner. Dette er hendelser som virksomheten skal kunne håndtere. For eksempel:
- Hendelser som berører IKT-systemer og informasjon kan samles i en definert beredskapssituasjon som heter «IKT-hendelse».
- Ulykkeshendelser som involverer ansatte, som arbeidsskader og trafikkulykke på jobbreise, kan samles i en definert beredskapssituasjon som heter «Ansatt utsatt for ulykke».
- Hendelser der virksomhetens lokaler blir skadet – som brann, strømutfall, lekkasje, mv. – kan samles i en definert beredskapssituasjon som heter «Bygningsteknisk svikt».
- Og så videre...
Dimensjonerende hendelser
Neste steg nå er å lage de dimensjonerende hendelsene. En dimensjonerende hendelse er som sagt store, omfattende hendelser. Samlet skal de dimensjonerende hendelsene ta opp i seg alle de definerte beredskapssituasjonene – og følgelig alle de uønskede hendelsene som kan skje i virksomheten.
Med referanse til de definerte beredskapssituasjonene vi så på over, kan en dimensjonerende hendelse for eksempel være: «Brann i virksomhetens lokaler, som fører til at tre ansatte blir skadet. To blir hardt skadet og én blir lettere skadd. Lokalene må renoveres før de kan tas i bruk igjen, og virksomheten må derfor flytte driften til alternative lokaler i fire uker».
Nå tenker du kanskje: «Oi, det var da voldsomt». Og ja, det er voldsomt. For en liten virksomhet kan det virke veldig stort og omfattende. For en stor virksomhet med tusenvis av ansatte og lokaler flere steder i landet, er sannsynligheten for en slik hendelse adskillig større.
MEN: Enhver virksomhet må ha en beredskap for de store hendelsene. Det er selvsagt ikke sikkert at en slik stor hendelse skjer, men hvis dere er forberedt på den, da er dere også forberedt på de mindre hendelsene – de hendelsene som det er mye høyere sannsynlighet for.
Ok, la oss gå videre og se på én dimensjonerende hendelse til: «IKT-angrep der gjerningspersonene kopierer ut alle personopplysninger fra virksomhetens IKT-systemer, samtidig som de krypterer alle data på virksomhetens servere» (et ganske sannsynlig scenario, skal vi tro Norsk Sikkerhetsmyndighet, Kriminalpolitisentralen og Politiets Sikkerhetstjeneste sine nyeste publiserte risikovurderinger).
Analyse av dimensjonerende hendelser
Hva gjør vi så med disse dimensjonerende hendelsene? Jo, vi analyserer dem bit for bit, for å se hva som er nødvendig for å håndtere dem. Først deler vi dem derfor inn i faser (biter), for eksempel disse:
- Varslingsfasen
Dette er den innledende fasen av hendelsen. Den begynner når «alarmen går» og ender når man er klar til å starte med selve hendelseshåndteringen. - Aksjonsfasen
Nå er beredskapsressursene i innsats. Denne fasen varer frem til hendelsen er over, det vil si når «brannen er slukket». - Normaliseringsfasen
Når hendelsen er over, så er den egentlig ikke over, for da skal beredskapsressursene tilbake på plass, åstedet skal ryddes, de involverte skal ivaretas, og hendelsen skal evalueres.
For hver fase ser vi på:
- Behov/tiltak:
Hva må gjøres, og hvor raskt må det gjøres? For eksempel: Hvilke tiltak skal settes i verk, hvor raskt skal hendelsen varsles, hvem skal varsles, og hva skal disse gjøre?
- Personellressurser:
Hvor mange personer trenger vi, og hvilke funksjoner skal disse fylle? Eksempel: En IKT-hendelse vil kreve en person som leder hendelseshåndteringen, for eksempel daglig leder eller IKT-sjefen. IKT-personell må til for å stenge ned IKT-systemer og begrense skaden. Hendelsen vil kunne påvirke kunder, leverandører, brukere, og andre, så det kan være nødvendig å ha en person som er dedikert til å ta seg av kommunikasjon med eksterne parter, publikum og eventuelt media. Dessuten vil det kunne være behov for en person (kanskje flere) som loggfører alle tiltak og annen informasjon underveis i hendelseshåndteringen.
- Kompetanse:
Hvilken kunnskap trenger de personene som skal håndtere hendelsen? Kanskje dere identifiserer behovet for kompetanse som dere ikke har i dag, som spesialkompetanse om begrensning av hackerangrep, eller kunnskap eller erfaring med krisekommunikasjon og mediehåndtering. Dessuten må alle involverte ha øvd på hendelsen, slik at det ikke kommer noen overraskelser (tro meg: Hvis dere ikke øver, er dere ikke forberedt den dagen krisen inntreffer).
- Utstyr:
Hva trenger vi av utstyr for å håndtere hendelsen best mulig? Siden vi har brukt IKT-hendelsen som eksempel til nå, kan vi like godt fortsette med den (den hendelsen gjelder omtrent 99 % av alle virksomheter, så den tjener som et svært godt eksempel): IKT-utstyr til å håndtere hendelsen, hvis den ikke kan håndteres med det eksisterende utstyret dere allerede har. Det vil være nødvendig med et loggføringssystem for å holde fortløpende oversikt over hendelseshåndteringen. Kanskje dette må foregå på en mobiltelefon eller på papir. Hint: Loggføringssystemet må være på plass FØR hendelsen skjer. Da er det nemlig for sent å begynne å tenke på hvordan hendelsen skal loggføres.
Beredskapsplanen
Nå som dere har identifisert hvilket personell, kompetanse og utstyr som må til for å håndtere de dimensjonerende hendelsene, har dere en «smørbrødliste» over alt dere trenger for å ha en god beredskap. Da gjenstår det «bare» å lage en beredskapsplan. En beredskapsplan kan sammenlignes med «tiltakskort» for uønskede hendelser, som hackerangrep eller arbeidsulykker. Bruk vurderingene dere gjorde av de dimensjonerende hendelsene – der ser dere hva som skal gjøres, hvem som skal gjøre det, etc.
Beredskapsplanen må være tydelig på hva som skal gjøres og av hvem, hvem som har ansvar, hvor man får tak i aktuelle personer, mv. Planen må oppdateres kontinuerlig (den dagen krisen inntreffer og en person på varslingslisten har sluttet eller fått nytt mobilnummer, da kan jeg love deg at alle blir veldig, veldig stresset. Og da tar ting tid, kanskje mer tid enn dere har).
Dette var en kort gjennomgang
Gjennomgangen over var en kort fremstilling av hvordan du bygger god beredskap – fra risikovurdering til beredskapsplan. Det kan virke litt overveldende til å begynne med, men det er en utrolig engasjerende og lærerik prosess. Jeg kan ikke huske å ha møtt uengasjerte mennesker når jeg har bistått virksomheter med å lage beredskapsplaner eller vurdere risikoen (ja, jo – kanskje i begynnelsen av arbeidsprosessen, men etter hvert er alle helt med. Og litt til!) Det dreier seg jo om arbeidshverdagen til de ansatte, om virksomhetens omdømme – og om hvor levedyktig den er.
Viktigheten av involvering
Husk å involvere tillitsvalgte, verneombud, avdelingsledere og nøkkelpersonell i arbeidsprosessen. Og kanskje du må involvere noen eksterne aktører. Min erfaring er at involvering er ensbetydende med at du får mye kunnskap og erfaring inn i vurderingene. Og dét er uvurderlig.
Vi brenner for god beredskap. Kontakt oss hvis du vil ha bistand, på tlf. 932 97 784 eller send oss en mail: [email protected]. Vi har utarbeidet beredskapsplanverk for en rekke virksomheter, deriblant for mange brann- og redningsvesen.
Hvis du vil lese mer om beredskapsanalyser, kan jeg varmt anbefale boken «Beredskapsanalyse» av Jonas Eriksen, Eivind Rake og Morten Sommer.
Om artikkelforfatteren:
Paul F. Henriksen er daglig leder i Einang Safety. Han har tidligere jobbet som politioverbetjent og etterforskningsleder ved Vest politidistrikt. Fra år 2000 til 2005 tjenestegjorde han i utenlandstjenesten i Forsvaret, blant annet i Kosovo og Afghanistan. Etter Politihøyskolen har han videreutdannet seg innen generell og digital etterforskning, og han har studert beredskapsledelse, kriseledelse, organisasjon & ledelse og politiledelse. Fra høsten 2023 er han masterstudent på studiet beredskap og kriseledelse ved Nord universitet.