Strengere krav til bakgrunnssjekk av nye ansatte og underleverandører
– Nå er det blitt strengere krav til bakgrunnssjekk ved ansettelser i nett- og produksjonsselskapene. Energiselskapene er også pliktig til å påse at deres leverandører etterlever bestemmelsene om informasjonssikkerhet. Dette er viktig å ta tak i for selskapenes egen sikkerhet og omdømme, og kan samtidig være krevende for mange å komme godt i gang med, forteller direktør Mats Ruge Holte. Han leder arbeidet med bakgrunnsundersøkelser i konsulentselskapet PwC.
Nye trusler gir endringsbehov
Bakteppet er revidert kraftberedskapsforskrift, men også den nye sikkerhetsloven med forskrifter, som begge trådte i kraft 1. januar 2019. – Dette gjør at energiselskapene må styrke fokuset på alle former for sikkerhet; IKT-sikkerhet, driftssikkerhet, sikring av anlegg og systemer, sikkerhet mot spionasje og sabotasje for å nevne noe, sier Mats Ruge Holte. Han trekker særlig fram noen tiltak som er viktig at alle nettselskaper har sørget for å ha gjennomført før NVE kommer på tilsyn, – men også ut fra at det er i selskapenes egen interesse å være føre var i forhold til det nye trusselbildet.
Kontroll av nyansatte
Energibransjen forvalter store mengder kunde- og personopplysninger, markedssensitiv informasjon og sensitiv informasjon knyttet til drift, overvåking og sikring av anlegg. Både driftskontrollsystemer, AMS-systemer, kundesystemer og personalregistre er eksempler på informasjonssystemer som inneholder denne type kritisk og sensitiv informasjon, og som vil kunne være utsatt for uønskede hendelser.
– I kraftberedskapsforskriften er det strenge krav til å ha kontroll på hvem som har tilgang til kraftsensitiv informasjon og adgang til kritiske anlegg. Det stilles nå krav om risikovurderinger og kontroll ved ansettelser og for personer som skal ha tilgang til klassifiserte anlegg og systemer. Dette gjelder for alle KBO-enhetene, og medfører således at dette er noe som alle medlemmene av Distriktsenergi må forholde seg til. Personer som skal få tilgang til anlegg, system eller annet som er klassifisert etter klasse 2 skal som utgangspunkt også fremlegge kredittsjekk, forteller Holte. Han forteller at det noen tilfeller også kan være verd å gjøre en sjekk av vitnemål, de siste fem arbeidsforholdene og rullebladet.
Slik kan du gjøre bakgrunnssjekk av ansatte eller innleide personer
Nivå 1 Grunnleggende sjekk:
Gjennomgang av media/databaser, kredittsjekk, sjekk av vitnemål (for norske kandidater)
Nivå 2 Utvidet sjekk:
Nivå 1 + sjekk av vitnemål (for internasjonale kandidater), sjekk av arbeidsforhold siste 10 år/siste 5 arbeidsgivere, sjekk av rulleblad (internasjonale kandidater).
Nivå 3 Diskrete kilder:
Nivå 1, 2 + bruk av PwCs kildenettverk for å få innspill på personens omdømme og pålitelighet når det ikke er åpne kilder eller er upålitelig.
Slik kan du gjøre bakgrunnssjekk av firmaer
Nivå 1 Søk i åpne kilder:
Sjekk av media/databaser, sanksjoner, eierstruktur, ledelse i firma
Nivå 2 Spørreskjema:
Nivå 1 + Sender over skreddersydd spørreskjema med spørsmål eks. knyttet til sikkerhet, compliance, ansatterettigheter, HMS osv.
Nivå 3 Diskrete kilder:
Nivå 1 + bruk av PwCs kildenettverk for å få innspill på firmaets omdømme og pålitelighet
Nivå 4 Leverandørgjennomgang:
Revisjon av firmaet
Nye krav til leverandører
Energibransjen har ansvaret for en av landets mest kritiske infrastrukturer, og forvalter store verdier for samfunnet. Energibransjen er en bransje som er svært avhengig av underleverandører, og noen av disse er globale konserner. – Den type informasjon som energibransjen forvalter kan være svært attraktive for trusselaktører, enten det er fremmede stater som ønsker å kartlegge strømforsyningen eller aktører som ønsker å bedrive industrispionasje, oppnå økonomisk vinning eller å innhente informasjon om enkelte personer forteller Holte.
-Både ny sikkerhetslov og kraftberedskapsforskriften stiller strengere krav til hvilke leverandører som kan brukes i visse anskaffelser. Etter sikkerhetsloven er det plikt om å varsle om anskaffelser hvor det er en ikke ubetydelig risiko for at verdien kan bli rammet av eller brukt til sikkerhetstruende virksomhet gjennom anskaffelsen. I kraftberedskapsforskriften er det krav om at leverandører til driftskontrollsystem skal være fra et land som er medlem i EFTA, EU eller NATO og at det skal være foretatt tilstrekkelig risikovurdering før anskaffelsen, sier Holte.
– Hvordan kan nettselskapene gjøre bakgrunnssjekk av underleverandører?
– Det er naturlig å starte med å sjekke mediedatabaser og eierstruktur. Neste nivå er å sende et skreddersydd spørreskjema med spørsmål knyttet til sikkerhet, compliance, ansatterettigheter og HMS. En grundig sjekk vil også inkludere en sjekk av firmaets omdømme og pålitelighet og en stedlig revisjon av firmaet, forteller Holte.
Bekymring hos myndighetene
– Det er helt klart en økt bekymring hos myndighetene for at sentral infrastruktur som strømnettet kan bli satt ut av spill i en gitt situasjon. Nå gjør NVE det klart at det er nullakseptanse for disse sikkerhetshullene og det forventes at nettselskapene har rutiner og kontroll i ansettelsesprosessene og i bruken av underleverandører, sier han.
– Vi som jobber i granskingsavdelingen til PwC, ser at utro ansatte og uærlige arbeidssøkere representerer et økende problem for bedriftene. Det dreier seg om alt fra arbeidssøkere som jukser med CVer og referanser slik at bedriftene risikerer å ansette personer uten rett kompetanse, til kamuflering av tidligere kriminalitet som underslag. I et beredskapsperspektiv er det viktig å hindre at uvedkommende ikke får tilgang til sensitiv informasjon gjennom nettselskapenes kjøp av tjenester fra underleverandører. I økende grad ser vi at selskapsstrukturer med hensikt kan gjøres uoversiktlige – slik at de reelle eierne ikke er lette å avdekke for nettselskapene. Selv om ingen stater nevnes med navns nevnelse er det ikke tvil om at myndighetene her har Kina og Russland i tankene, forteller Holte.
– Hvordan bør nettselskapene går frem for å redusere risikoen ved ansettelser og kjøp av tjenester fra underleverandører?
Forebygging av økonomisk kriminalitet og sikring av sensitiv informasjon handler i stor grad om å forstå det økende risikobildet, utarbeide rutiner og systemer for forebygging, og etablere systemer for å oppdage og håndtere kriminalitet hvis så allerede har skjedd. Vi anbefaler at selskapene lager et velfungerende prosedyreverk som passer for det enkelte nettselskap. Det er viktig at selskapene innser at det å sikre gode ansettelser og underleverandører er en sentral del av virksomheten. Vi kan selvsagt være behjelpelig med det, og kan i tillegg konkret sjekke underleverandører og de som søker nøkkelstillinger i selskapene, sier Holte.
