Blogg

Manglande rutinar – eller brot i kjeda?

Starten av 2025 gav Noreg ein «gratis» sjekk av beredskapen på matsikkerheita. Noreg, landet som er særs stolt av eigen mat-tryggleik. Landet der ein ikkje treng å frykte Salmonella, der antibiotika-bruken på husdyr er blant dei lågaste i verda, landet der me kan drikke vatnet frå springen og i naturen. 7. februar slo saken ned som […]

Starten av 2025 gav Noreg ein «gratis» sjekk av beredskapen på matsikkerheita. Noreg, landet som er særs stolt av eigen mat-tryggleik. Landet der ein ikkje treng å frykte Salmonella, der antibiotika-bruken på husdyr er blant dei lågaste i verda, landet der me kan drikke vatnet frå springen og i naturen.

7. februar slo saken ned som ei bombe – eit parti av egg inneheldt alt for mykje vitamin D (1). Ein rekkje menneske opplevde store ubehag etter inntak av nemnte egg, noko som verkeleg satt fart på saken si merksemd – tydelegvis så mykje at sjølvaste FHI publiserte ein artikkel om saken med info om hendinga (2).

Etter ein 14 dagars tid var nyhende-interessa over, alle gjekk attende til sitt – og saken vart nesten gløymt. Dagligvarekjedar fekk skryt for å ha agert fort med å fjerne det nemnte partiet frå sine butikkar, Felleskjøpet var opne om at det var dei som hadde ein feil og me har ikkje sett så mange fleire artiklar om at folk er vorte sjuke.

Det er likevel meir med denne saken som eg stillar store spørsmål ved, og som tittelen på artikkelen peikar mot – kunne dette ha vore unngått?

For det første

Det var ikkje Felleskjøpet sine rutinar som avdekka at det var noko feil med dyreforet (sjå NRK-artikkel i kjelder). Det vart først oppdaga etter at ein del produsentar (les; bønder) attende i januar hadde stilt spørsmål til Felleskjøpet om det kunne vera noko feil på foret. Dei rapporterte om heile besetningar som slutta å ete, drakk dertil meir, beinbrot, nyresvikt og auke dødelegheit. Først etter å ha motteke desse varsla, starta Felleskjøpet prosessen som konkluderte med at kraftfôret inneheld for mykje vitamin D.

Altså, kva i alle store namn og rike er det eg les? Sei meg ein ting Felleskjøpet, er det inga vaksne på jobb?  Er det verkeleg inga rutinar der dykk kvalitetssikra produkta dykkar før dei vert levert til kundane dykkar? 

For det andre

Felleskjøpet har i ein pressemelding (3) informert at råka produsentar vil verta kompensert økonomisk for dei tap dei har hatt som ein direkte følgje av hendinga. Dette er vel og bra det – og det skulle vel eigentleg berre mangle. Men, Felleskjøpet er eigd av bønder. Omlag 36.000 av dei. Eg reknar med at denne erstatninga kjem som ein ekstra-post i selskapsrekneskapet, eit grep som då vil senka botnlina og gjere driftsresultatet dårlegare. Og som igjen potensielt kan medføre at eigarane (igjen, les: bøndene) ikkje får verken medlemsbonus eller tilført midlar på medlemskapitalkonti. Så ikkje nok med at dei råka produsentane først skal kjenne på dei bekymringar dei har når det vert avdekka at noko ikkje er som det skal vera i fjøset; dyr døyr utan logisk grunn, veterinær på ekstraordinære besøk, ein brukar garantert fleire timar enn vanleg i ein situasjon som dette (og me veit jo allereie at bønder i Noreg ikkje akkurat klokkar ut når klokka er 16) – ein skal att på til få mindre avkastning på sin eigardel i Felleskjøpet.

Hadde det ikkje vore meir rettvist at leiinga i Felleskjøpet, dei som faktisk har skuld og ansvar i denne saka – må dekke dette frå eiga privat lomme? Kvifor skal det gå ut over eigarane (eller medlemmane om du vil), som at på til er kundane dykkar?

For det tredje

Eg jobbar med IT-sikkerheit, og dei som kjenner meg veit at IT-sikkerheit er ikkje berre ein jobb for meg. Det er ein livsstil og ein lidenskap. Og med dette i bagasjen, så vert ein fort det mange kallar miljø-skada. Min første tanke då nyhenda kom, var i den meir «katastrofiske» enda av skalaen: «Har ei framand statsmakt kome seg inn i miljøet?» og «var dette ein test som feila, eller eit angrep som var oppdaga for tidleg?».

Om ein ser på dette opp mot dei samfunnskritiske tenestene og funksjonane våre, så kunne (og kan framleis, meir om dette seinare) dette ha vore eit klårt eksempel på verdikjede-angrep. Matproduksjon og -leveranse er ein av dei sektorane som fort kan verta offer dersom nokon vil nasjonen Noreg vondt. Å «tukle» litt med oppskrifta eller vekta som måler opp ingrediensane i eit produksjonsmiljø kan fort gå uoppdaga hen – og dersom ein ikkje har rutinar på plass for å kontrollere produkta ein sendar frå seg, så kan det fort ta ei tid før dette vert avdekka. Og har det vara lenge nok, så risikera ein å kome i ein situasjon der alt som er produsert og levert samt det som ligg på lager må destruerast og marknaden går tom for varen. Eller som i den gjeldande situasjonen – husdyr må avlivast, me får nesten mangel på egg, bønder står utan kraftfôr ein periode og så vidare.

Er det verkeleg berre me som jobbar innanfor IT-sikkerheita som tenkjer i desse baner? At slike hendingar ikkje lengre er utenkjeleg? Å råka ein nasjon trengs ikkje berre å gjerast med militær makt og militære styrker, det er enklare, billigare og mykje meir risikofritt å heller få nasjonen til å kollapse ved å skade samfunnskritiske funksjonar og tenesta.

Avslutningsvis

Verdikjedeangrep er ikkje noko nytt innanfor IT-sikkerheit, og det mest kjende er nok STUXNET (4). Me har heldigvis eit visst fokus på dette i bransjen, enten i form av bransjerammeverk (NIST, CIS18 og så vidare) eller lovverk (mellom anna den oppdaterte Sikkerhetslova). Sikkerhetslova har ikkje så stort fokus på samfunnskritiske tenesta, men dette vil endra seg så snart forskrifta til Digitalsikkerheitslova (Lov om digital sikkerheit) vert ratifisert og lova trer i kraft. Med denne lova vert ein pliktig til å ha kontroll på verdikjeda, og ein får eit ansvar som gjer at ein risikera både bot og eventuell erstatningsplikt dersom dette ikkje er tilfelle.

Med dette som bakgrunn, er det inga som har fortalt Felleskjøpet at dei er ein del av samfunnskritisk infrastruktur i Noreg? At deira posisjon som underleverandør til matprodusentar, gjer dei til eit potensielt mål for nokon som ikkje vil Noreg vel?

Denne hendinga er diverre nok eit kroneksempel på manglande sjølvfølge. Noko som ein forventa er på plass (for å oppretthalde naudsynt sikkerheitsnivå i heile verdikjeda), var ikkje det likevel. Akkurat i denne hendinga råka det matproduksjon i Noreg, ein produksjon som vert viktigare og viktigare slik situasjonen er i verda om dagen. Neste gong er det kan hende ein anna del av samfunnskritisk infrastruktur som vert råka.

Det må (dessverre) stort sett ei alvorleg hending til før problemet vert satt på dagsorden, før ein får tildelt naudsynte ressursar og før nokon tar tak i det.

For nokre dagar sidan informerte Felleskjøpet av DNV skal gjennomføre ei gransking på kva som har skjedd, korleis det let seg skje og kva dei bør gjere for at det ikkje skal skje igjen (5).

Eg kryssar fingrane for at det vert avdekka at ein styringseining i produksjonsmiljøet hadde ein feil og dermed tilførte meir vitamin D enn det den skulle – og at det ikkje var uvedkomande som hadde «tukla» med løysninga. Og at Felleskjøpet, og andre samfunnskritiske organisasjonar, tek innover seg det ansvar dei har – og handtera det der etter.

PS: om Digitalsikkerhetslova hadde tredd i kraft, og DNV hadde avdekka at hendinga skuldast manglande sikkerheit, så hadde det faktisk vore styret, den daglege leiinga og andre leiande rollar i Felleskjøpet som hadde måtte erstatte dette. Frå deira eigne lommer…

Kjelder:

1: https://www.nrk.no/norge/nortura-trekker-tilbake-minst-10-millioner-egg-tilbakekalt-pa-grunn-av-forgiftningsfare-1.17258858

2: https://www.helsebiblioteket.no/forgiftninger/legemidler/vitamin-d-behandlingsanbefaling-ved-forgiftning

3: https://www.felleskjopet.no/presse/pressemeldinger/felleskjoepet-avdekket-alvorlig-produksjonsfeil-egg-tilbakekalles/

4: https://no.wikipedia.org/wiki/Stuxnet

5: https://www.felleskjopet.no/presse/pressemeldinger/dnv-skal-gjennomfoere-granskning-av-produksjonsfeilen-til-felleskjoepet/

Om forfatteren