Tilnærminger til vurdering av angrepsrisiko

I den forrige kortstudien ble det introdusert en definisjon av sikkerhet som tar utgangspunkt i en kognitiv risikovurdering. Kognitive risikovurderinger kan være effektive, men er utsatt for bias og andre predisposisjoner som kan føre til at utfallet av risikovurderingen avviker betydelig fra den objektive risikoen . En vitenskapelig risikovurdering krever at datagrunnlaget, analysen og konklusjonen eksternaliseres gjennom en metodisk tilnærming . Dette gjør at bias og ikke-substantierte subjektive vurderinger kan avdekkes og risikovurderingen blir etterprøvbar. I denne kortstudien redegjøres det først kort for sentral litteratur knyttet til metodiske risikovurderinger, og sentrale trekk for en god tilnærming trekkes frem fra litteraturen. Deretter redegjøres det for to hovedretninger innen tilnærminger til risikovurdering, og de to hovedretningene blir drøftet i lys av identifiserte kriterier.

Litteratur om risikovurderinger

Innen fagfeltet risiko skilles det mellom begrepene risikostyring og risikovurdering . En risikovurdering er en analyse og, fortrinnsvis, måling av risiko etterfulgt av en evaluering av tiltak for å redusere eller øke risiko. Risikostyring er den overordnende prosessen med å iverksette risikovurderinger, implementering av tiltak og kontinuerlig overvåkning og gjennomgang av identifiserte risikoer. Denne kortstudien er avgrenset til risikovurdering, og det er utarbeidet en betydelige mengde norskprodusert litteratur. Terje Aven fra Universitet i Stavanger, en av de ledende fagpersonene på feltet , har blant annet skrevet flere bøker og forskningsartikler om emnet. Primært er Avens arbeider knyttet til risikovurderinger for ulykker, men han har også drøftet tilnærminger til helhetlige risikovurderinger som kan anvendes for både angrep og ulykker . Det er også utarbeidet flere lærebøker og forskningsartikler om risikovurderinger ved andre norske universiteter . For risikovurderinger avgrenset til angrepssikkerhet er det mindre norskprodusert litteratur, men mest fremtredende er Sikringshåndboka og Sikring. En innføring i teori og praksis . I tillegg har FFI utarbeidet en rapport som evaluerer ulike tilnærminger til risikovurderinger for angrep . Internasjonalt er det utarbeidet flere omfattende studier som drøfter ulike tilnærminger til risikovurdering for angrep, ofte omtalt som Security Risk Assessment (SRA) .

Til felles for alle tilnærmingene er at de har som formål å identifisere risiko, for å på den måten kunne evaluere hvilke tiltak som bør gjennomføres for å redusere – eller i noen tilfeller – øke den¹Eksempelvis dersom analysen avdekker at det er etablert unødvendig omfattende tiltak.. De fleste risikovurderinger tar utgangspunkt i å etablere en systemforståelse av hvordan ulike deler av analysen påvirker hverandre, og bidrar på denne måten til å øke forståelsen av omfanget dersom en hendelse inntreffer. I de fleste tilfeller vil det derfor være bedre å gjennomføre en risikovurdering, uavhengig av tilnærming, enn å ikke gjøre det. Unntaket er dersom risikovurderingen i seg selv er svært ressurskrevende, og/eller bidrar til å skape en persepsjon av risiko som er lengre fra den objektive risikoen enn utgangspunktet var før analysen. Sistnevnte omtales som analyseplacebo og kan blant annet oppstå dersom analysen har oversett sårbarheter og feilaktig gir et inntrykk av at det er liten grunn til å frykte en hendelse . Motsatt kan også analysen ha overvurdert ubetydelige sårbarheter og ende opp med å anbefale irrasjonelt omfattende tiltak. Det er variasjoner i både tilnærminger og vektlegging av ulike forhold, men alle tilnærmingene har et par grunnleggende forutsetninger for en god risikovurdering, som blir introdusert under.

Situasjonsbevissthet og situasjonsforståelse

Formålet med en risikovurdering er å fungere som støtte til beslutning for hvorvidt det bør iverksettes flere eller færre tiltak for å redusere risiko. Dette krever både bevissthet og forståelse hos beslutningstakere. Innen militær ledelse og kriseberedskap benyttes ofte begrepene situasjonsbevissthet (Situational Awareness – SA) og situasjonsforståelse (Situational Understanding – SU) . Disse begrepene har, som så mange andre begreper innen krise- og beredskapsfaget , ulike definisjoner både innad og mellom ulike diskurser . I drøftingen benyttes situasjonsbevissthet om å kjenne til at en risiko eksisterer, mens situasjonsforståelse innebærer å forstå hvorfor risikoen eksisterer. Situasjonsbevissthet er det første steget på vei til situasjonsforståelse, men situasjonsforståelse krever mer tid og ressurser for å opparbeide seg. En ideell risikovurdering oppnår effektivt både situasjonsbevissthet og situasjonsforståelse hos mottakeren.

Validitet og reliabilitet

Minimumskravet for en meningsfull risikoanalyse er at den gir et resultat som er bedre enn tilfeldig. For å kunne evaluere om den gjør det, må tilnærmingen være så valid og reliabel som mulig. Med valid menes det at risikoanalysen er så nærme den objektive risikoen som mulig. En risikovurdering som fastsetter risiko med svært høy presisjon (eksempelvis at den angir 51,6% sannsynlighet for et angrep eller ulykke), men som er langt unna den objektive risikoen (eksempelvis at sannsynligheten i virkeligheten er 23%) er en uegnet analyse. Fastsetter den derimot risiko med svært lav presisjon (eksempelvis at den angir sannsynlighet mellom 20-80%) så gir det ingen beslutningsstøtte. Med reliabel menes det at risikoanalysen er etterprøvbar og at det samme resultatet vil bli konklusjonen hver gang – gitt at datagrunnlaget er likt. En risikoanalyse som ender opp med høy risiko i en analyse, men som ender opp med lav risiko i en annen analyse, er uegnet: er resultatet fra analysen vilkårlig gir den ingen god beslutningsstøtte – da kunne man like gjerne ha kastet en terning.

Validitet og reliabilitet gjelder ikke kun for fastsettelsen av et uttrykk for risiko. Det gjelder også for de kvalitative vurderingene og beskrivelsene i analysen. En god metode for risikoanalyse bidrar til en strukturert gjennomgang av faktorene som påvirker risiko, som presenterer disse på en måte som gir en valid gjengivelse av virkeligheten – i en etterprøvbar tilnærming som gjør at analysen vil være lik uavhengig av hvem som gjennomfører den – gitt at tilgjengelig datagrunnlag er likt.

Med utgangspunkt i eksisterende litteratur kan tilnærminger til risikovurderinger i en norsk kontekst deles opp i to hovedretninger: sannsynlighetsdrevet risikovurdering og risikovurderinger uten vurdering av sannsynlighet . Den første hovedretningen er basert på tradisjonell risikovurdering for ulykker, mens den andre tar utgangspunkt i at det ikke er hensiktsmessig å vurdere sannsynlighet for et angrep, ettersom usikkerheten er så høy at vurderingen ikke vil være hverken valid eller reliabel. I de kommende kapitelene redegjør og drøfter jeg de to tilnærmingene nærmere.

Hovedretning 1: Sannsynlighetsdrevet risikovurdering

Den mest utbredte strukturerte tilnærmingen til vurdering av risiko tar utgangspunkt i å identifisere og kvantifisere sannsynligheten for at en hendelse skal inntreffe, kombinert med en identifisering og kvantifisering av konsekvensene dersom hendelsen inntreffer. Desto større sannsynligheten er for at noe skal inntreffe, og desto større konsekvensene dersom dette noe inntreffer er, jo større er risikoen. Denne tilnærmingen er både intuitiv og enkel å anvende, og strekker seg tilbake til Fermat & Pascals sannsynlighetsregning. Gitt at tilstrekkelig statistisk data er tilgjengelig kan sannsynligheten for at en hendelse vil inntreffe kunne regnes ut med høy grad av sannsynlighet. Kombinert med en konsekvensanalyse vil risikovurderingen kunne være svært nærme den objektive risikoen. Denne formen for ulykkesrisikoanalyser omtales ofte som Probalistic Risk Assessment (PRA), og har sitt opphav i en studie om ulykkessikkerhet for nukleære reaktorer fra 1975 . Tilnærmingen ble samme året også foreslått anvendt for vurdering av risiko for angrep. Forslaget ble omtalt som ERDA-7, og tok utgangspunkt i at risiko for angrep kunne bli vurdert på bakgrunn av Risiko = F x P x C, hvor F er frekvens for angrep på et nukleært anlegg, P er sannsynlighet (probability) for at angrepet vil være vellykket og C er konsekvensene ved angrepet.

Drøfting

For risikovurderinger for ulykker er PRA-tilnærmingen allment akseptert som beste praksis innen de fleste fagfelt: sannsynlighet og konsekvens er to uavhengige variabler som er enkle og intuitive å forstå. Tilnærmingen er likevel sårbar for at utenkelige hendelser, ofte omtalt som svarte svaner , ikke blir vurdert.

Bruk av PRA-metoden for vurdering av angrep har derimot blitt gjenstand for omfattende kritikk, også fra de som utviklet PRA-metoden . Innvendingene var blant annet:

• PRA forutsetter at ulykker i sin natur er tilfeldige, hvilket muliggjør statistisk sannsynlighetsregning. En slik forutsetning vil ikke være gyldig for menneskelige handlinger.
• Manglende datagrunnlag kan i PRA bli kompensert for ved hjelp av konservativt pessimistiske estimater for sannsynlighet. Ettersom sannsynlighet for et angrep i sin natur er forbundet med ekstrem usikkerhet, vil et konservativt pessimistisk estimat for sannsynlighet måtte være svært høyt. Kombinert med et verstefalls-scenario vil denne risikoen være helt uakseptabel.
• En bedre og enklere tilnærming er ganske enkelt at uautorisert tilgang til sensitivt nukleært materiale må gjøres veldig vanskelig.

En ytterligere evaluering av tilnærmingen ble utarbeidet av Sandia National Laboratories, et forskningsmiljø underlagt det føderale National Nuclear Security Administration (NNSA) i USA , som konkluderte med at tilnærmingen ikke var hensiktsmessig, blant annet på bakgrunn av:

• Vanskeligheter med å innhente anvendelig data
• Feilkilder forårsaket av forutsetninger om at forekomsten av forsøk er tilfeldig
• Gjensidige avhengigheter mellom variablene som inngår i analysen
• Problemer knyttet til å utarbeide meningsfulle konsekvensanalyser
• Usikkerheter i resultatene fra risikoanalysen

Som en konsekvens av dette konkluderte rapporten med at tilnærmingen ikke ville være hensiktsmessig for å vurdere angrepsrisiko, og kunne ende opp med kontraproduktive beslutninger og tiltak .

Til tross for disse innvendingene har en rekke ulike tilnærminger forsøkt å vurdere sannsynlighet i risikoanalyser for angrep , spesielt i etterkant av terrorangrepene i vestlige land utover 2000-tallet . The American Society of Mechanical Engineers Innovative Technologies Institute (ASME-ITI) utarbeidet sammen med Department of Homeland Security (DHS) i 2005 et forslag til en PRA-tilnærming for vurdering av risiko for terrorangrep mot kritisk infrastruktur, omtalt som RAMCAP (Risk Analysis and Management for Critical Asset Protection). RAMCAP ble først evaluert av Cox, Jr , som påpekte flere av utfordringene som adressert tidligere. De gjensidige avhengighetene mellom variablene fører til at de ikke kan legges sammen, og følgelig heller ikke kan anvendes for å allokere ressurser på tvers av analyser. I tillegg fremhevet han den iboende subjektiviteten og tvetydigheten i de numeriske verdiene til trussel (sannsynlighet for angrep), sårbarhet (sannsynlighet for vellykkethet) og konsekvens (ved angrep) .

Senere satte National Research Council ned et utvalg som evaluerte DHS tilnærminger til risikoanalyser. Utvalget bemerket at DHS’ risikoanalyser for naturkatastrofer «are near state of the art», men at deres risikoanalyser for terrorisme basert på R = T x V x C ikke måtte brukes, og at inntil dette var utbedret måtte slike risikoanalyser utarbeidet av DHS tillegges lav troverdighet . En av de største svakhetene var at faktorene var gjensidig avhengige av hverandre, og derfor ikke meningsfylt kan bli målt hver for seg og bli summert eller multiplisert. Det hastet derfor med å rette mer oppmerksomhet knyttet til vurdering og kommunisering av de underliggende forutsetningene i angrepsrisikoanalysene . Kritikken fra NRC ble imidlertid ikke stående uimotsagt, og det ble trukket frem at sannsynlighetsvurderinger er et kjent fenomen innen etterretningsfaget , med henvisninger til blant annet .

I Norge forsøkte DECRIS-prosjektet²DECRIS – Risk and Decision Systems for Critical Infrastructures var et forskningssamarbeid mellom SINTEF, NTNU og FFI med formål om å utarbeide en sektorovergripende metode for risikovurdering. Prosjektet var finansiert gjennom SAMRISK-programmet (2006–2011). (2007–2009) å lage en felles tilnærming til risikovurdering for både angrep og ulykker, men konkluderte i sluttrapporten med at det «gjenstår […] arbeid med hensyn til hvordan en skal integrere og håndtere viljeshandlinger i analysen. Spesielt er det i DECRIS ikke vurdert hvorvidt en skal angi sannsynligheter for disse» .

Direktoratet for samfunnssikkerhet og beredskap (DSB) utarbeidet i 2018 en omfattende rapport som tar for seg ulike krisescenario som kan ramme Norge i årene fremover . I risikomatrisen løftet de, nærmest profetisk, frem risiko for både pandemi (jf. koronautbruddet i 2019) og kvikkleireskred i by (jf. skredet i Gjedrum i 2020). Krisescenarioene tar også for seg ulike former for angrep, men uten at det blir vurdert sannsynlighet for disse: «Det er flere årsaker til dette. Viktigst er at sannsynligheten for slike hendelser kan endre seg raskere enn sannsynligheten for utilsiktede hendelser.» I tillegg trekkes det frem at:

Bak tilsiktede hendelser står det beregnende personer som prøver å omgå sikringstiltak for å gjøre størst mulig skade. Deres intensjon kan være vanskelig å avdekke. Sannsynlighets-vurderinger av tilsiktede hendelser er derfor nærmere knyttet til spesifikke trusselaktører, hvor vurderingene i stor grad må basere seg på etterretnings-informasjon og annen løpende informasjonsinnhenting. Det pekes likevel på forhold som kan påvirke sannsynligheten, og det vises til relevante trussel- og risikovurderinger fra PST, E-tjenesten og NSM.

Innvendingene til tross, tilnærmingen brukes i flere ulike sammenhenger for vurdering av angrepsrisiko. I et nasjonalt sikkerhetsperspektiv er de britiske styresmaktenes National Risk Register et av de mest fremtredende produktene som anvender en sannsynlighet x konsekvens-tilnærming i vurdering av angrepsrisiko. Dette produktet er også et godt eksempel på hvordan en sannsynlighetsdrevet risikovurdering kan anvendes for en allrisk-tilnærming, hvor både angrepsrisiko og ulykkesrisiko kan vurderes samlet. I 2021 utvidet også Standard Norge virkeområdet for NS 5814 til å eksplisitt også gjelde for angrep i tillegg til ulykker . NS 5814 tar utgangspunkt i vurdering av sannsynlighet og konsekvens for både angrep og ulykker, slik at de kan vurderes samlet med en enhetlig metode.

For angrep som forekommer ofte nok til at det kan legges til grunn en generell sannsynlighet har det også blitt utviklet statistiske modeller med utgangspunkt i blant annet bayesiansk statistikk , men for hendelser som forekommer sjelden er også denne tilnærmingen utsatt for svakheter som følge av vanskeligheter med å fastsette et utgangspunkt for sannsynligheten. Bayesianske modeller er også ofte svært omfattende og ressurskrevende å anvende .

Visuell presentasjon

PRA-analyser kan presenteres på en todimensjonal skala som umiddelbart skaper situasjonsbevissthet hos mottakeren. Risikoer som har høy konsekvens og høy sannsynlighet er viktigere å håndtere enn risikoer som har lavere konsekvens og sannsynlighet (se figur 1). For ulykkesrisiko vil også dette umiddelbart bidra til å skape situasjonsforståelse: risikoen er høy fordi konsekvensene ved den identifiserte ulykken er høy, og sannsynligheten for at den inntreffer er høy. For angrep er forholdet mellom sannsynlighet og konsekvens mer intrikat, ettersom konsekvens i seg selv kan bidra til å øke sannsynligheten. Sannsynlighet og konsekvens er dermed avhengige variabler, og for mottakeren vil det være uklart hvilke faktorer som har bidratt til å øke sannsynligheten. Ettersom enkelte faktorer kan ha bidratt til å øke både sannsynlighet og konsekvens ville det gitt bedre situasjonsforståelse å presentere faktorene som påvirker begge aksene.³Se også for flere generelle innvendinger mot risikomatrisen som beslutningsstøtte.

Evaluering av bruksområde

For angrep som forekommer ofte er det mulig å utarbeide både enkle og omfattende PRA-analyser for vurdering av angrepsrisiko. Eksempelvis vil man i en risikovurdering for en reise til en europeisk storby kunne utarbeide en enkel risikovurdering hvor det, på bakgrunn av statistikk om lommetyveri og vold, kan legges til grunn en frekvensbasert sannsynlighet for et angrep⁴Med angrep definert som en forsettlig handling som er uønsket av den som blir utsatt for den, herunder: tyveri, vold, spionasje, sabotasje, terror og militære anslag.. Det samme vil kunne være tilfellet for cyberangrep, hvor analysen også kan revideres ved hjelp av bayesianske modeller. En slik tilnærming vil likevel ha en iboende usikkerhet knyttet til unike faktorer som påvirker trusselaktørers vilje til å angripe en konkret verdi. Dette kan det likevel til en viss grad bli tatt høyde for i beskrivelse av usikkerhet knyttet til analysen.

For angrep som forekommer sjelden er det tilgjengelige datagrunnlaget enten fraværende eller svært mangefult. I en PRA-analyse kan dette til en viss grad forsøkes å bli kompensert for ved hjelp av subjektive ekspertvurderinger av sannsynlighet, men ekspertvurderingene må ta utgangspunkt i det samme mangelfulle datagrunnlaget. Usikkerheten vil derfor være svært omfattende og tilnærmingen har vært gjenstand for langvarig og omfattende kritikk. Når vurderingen av sannsynlighet har så stor usikkerhet, er det fare for at det bidrar til en feilaktig forståelse av den objektive risikoen, ettersom bruken av sannsynlighet kan gi inntrykk av at analysen er både mer vitenskapelig og nøyaktig enn det er grunnlag for. Spesielt kan dette oppstå ved plassering av risiko i et koordinatsystem (jf. figur 1). For å kompensere for dette har National Risk Register på enkelte scenarioer utarbeidet egne illustrasjoner som visualiserer usikkerhet knyttet til presisjon og nøyaktighet (figur 2). Dette bidrar til å synliggjøre den lave presisjonen og nøyaktigheten, men den viser også utfordringen med å visualisere risikoen på denne måten: dersom usikkerheten langs én eller begge aksene er så stor, så gir fremstillingen i praksis hverken situasjonsbevissthet eller situasjonsforståelse.

Hovedretning 2: Risikovurdering uten vurdering av sannsynlighet for angrep

Det er utarbeidet flere ulike tilnærminger til å vurdere risiko uten eksplisitte vurdering av sannsynlighet. I dette kapittelet introduseres et par fremtredende tilnærminger brukt i norsk sikkerhetsdiskurs, med hovedvekt på risikotrekanten .

Sannsynlighet = 1

En mye brukt tilnærming til angrepsrisikovurderinger er å sette sannsynlighet lik 1. Dette innebærer at risikovurderingen tar utgangspunkt i at et angrep vil finne sted, og deretter vurderer konsekvensene av et angrep. En slik tilnærming er blant annet beskrevet i FFI-rapport 24/00179 Helhetlig beskyttelse – metode for å balansere beskyttelsestiltak . Denne metoden legger til grunn en utarbeidelse av ett eller flere scenario som kan oppstå med utgangspunkt i identifiserte trusler. For en stridsvogn vil eksempelvis et slikt scenario kunne være et angrep fra et panservernvåpen. På bakgrunn av dette kan det utarbeides en matematisk overlevelsessannsynlighet basert på simuleringer av ulike missiler, treffpunkter, vinkler, hastighet med mer. Deretter kan det utarbeides en kost/nytte-vurdering av hvilke tiltak som vil gi de mest effekt for å øke overlevelsessannsynligheten ved et angrep. En utfordring med en slik tilnærming er at den ikke tar høyde for hvilke scenario som er mest sannsynlige, og at risikovurderingen i praksis er en ren sårbarhetsvurdering⁵Hvilket FFI også påpeker i sin rapport, og påpeker at metoden må brukes i lys av eksisterende risikovurderinger ..

Konstruert dimensjonerende trussel (DBT)

En beslektet tilnærming til sannsynlighet = 1 er å finne i anbefalingene til nukleær sikkerhet fra det internasjonale atomenergibyrået (IAEA). IAEA stiller krav til at medlemslandene skal sette krav til angrepssikring , og anbefaler å ta utgangspunkt i enten en trusselvurdering, eller en Design Basis Threat (DBT) ⁶For kategori 1 nukleært materiale eller anlegg med potensiale for omfattende radioaktive konsekvenser er DBT et må-krav. . DBT utarbeides av medlemslandene, og skal beskrive troverdige trusselaktører (credible adversaries) som kan forårsake et angrep, og utgjør terskelverdien for hva som skal forhindres for å inneha et akseptabelt sikkerhetsnivå . En risikovurdering basert på DBT tar utgangspunkt i en konstruert dimensjonerende trussel, og vurderer hvorvidt angrepssikringstiltakene er tilstrekkelige for å motstå trusselen.

Angrepssikringstiltak i tilknytning til nukleære reaktorer er sensitivt og medlemslands beskrivelser av DBT er i all hovedsak sikkerhetsgradert og unntatt offentligheten, men australske og amerikanske styresmakter har tilgjengeliggjort nedgraderte og generelle versjoner av sine DBT-beskrivelser .

Risikotrekanten (Risiko = f(V,T,S))

En annen tilnærming til risikovurdering uten vurdering av sannsynlighet for angrep er tilnærmingen som Nasjonal sikkerhetsmyndighet (NSM) har lagt til grunn siden direktoratet ble opprettet i 2003. I Risikovurdering 2003 står det: «Hensikten med NSMs risikovurdering er å hjelpe virksomhetene til å forstå hvorfor det er nødvendig å utøve forebyggende sikkerhetstjeneste. Dette gjøres gjennom å formidle et overordnet nasjonalt sikkerhetsbilde.» (s. 5). I risikovurderingen er det ingen eksplisitt bruk av sannsynlighet, men faktorene som påvirker risiko presenteres og aktualiseres. Faktorene blir introdusert gjennom introduksjonen av en trekant (figur 3). Denne tilnærmingen tar utgangspunkt i at vurderinger knyttet til risiko for angrep best gjør seg gjeldene med en kvalitativ og deskriptiv forklaring av de ulike faktorene som påvirker risiko, uten at dette eksplisitt blir kvantifisert eller rangert. Denne tilnærmingen har NSM i all hovedsak videreført i alle de årlige ugraderte risiko-produktene fra 2003 – 2025 (Vedlegg A). Tilnærmingen har likevel den samme utfordringen med at et ikke er noen strukturert metode for rangering av ulike risikoer mot hverandre.

Et alternativ til en mer strukturert tilnærming ble presentert av NSM, POD og PST i veilederen Sikkerhets- og beredskapstiltak mot terrorhandlinger . Her ble det introdusert en tilnærming til risikovurdering basert på faktorene verdi, trussel og sårbarhet. Forholdet mellom de tre verdiene og risiko ble illustrert ved hjelp av et radardiagram (figur 4): «[figuren] viser hvordan en reduksjon av en av variablene (i dette tilfellet: sårbarhet) vil medføre en mindre total risiko. på samme måte vil en økning av en variabel også øke den totale risikoen.» (s. 17).

Veilederen dannet grunnlaget for NS 5830-serien fra Standard Norge . NS 5830-serien er, i likhet med NS 5814, scenariobasert. Først identifiseres verdiene som skal beskyttes og trusselaktører som kan angripe dem, deretter utarbeides det scenario som beskriver hvordan trusselaktører kan angripe verdiene. På bakgrunn av scenarioene utarbeides det en vurdering av sårbarhet for de ulike scenarioene. Til slutt skal det utarbeides en kvalitativ vurdering av risiko for hvert scenario. I den kvalitative vurderingen fastsettes det ikke en egen tallverdi for verdi, trussel og sårbarhet, men det skal gjennomføres en helhetlig vurdering av risiko for hvert scenario basert på datagrunnlaget og usikkerheter knyttet til dette. Risiko er med denne tilnærmingen med andre ord ikke en addisjon av verdi + trussel + sårbarhet, men en helhetlig vurdering av forholdet mellom de tre faktorene.

Denne tilnærmingen til vurdering av risiko ble gjenstand for en betydelig mengde offentlig debatt, både i kronikker i en rapport fra FFI og en doktorgradsavhandling . I de kommende avsnittene presenteres et par av de viktigste utfordringene FFI påpekte i sin evaluering av standarden.

Ingen eksplisitt vurdering av sannsynlighet for de ulike scenarioene

Ettersom tilnærmingen ikke har noen eksplisitt vurdering av sannsynlighet for de ulike scenarioene påpekte FFI at vurderingen av scenarioer er binær: enten inkluderes et scenario, eller så inkluderes det ikke. Dette mener FFI fører til at de scenarioene som blir inkludert tillegges like mye vekt . En mulig innvending mot denne kritikken kan være at tilnærmingen legger opp til at vurderingen av sannsynlighet for de ulike scenarioene «bakes inn» i den helhetlige vurderingen av risiko, på bakgrunn av trusselvurderingen. Dersom scenarioet involverer en trusselaktør som «lite sannsynlig» vil komme til å gjennomføre et angrep, vil også risikoen være lavere. FFI advarer likevel mot at en generell bruker av tilnærmingen ikke fanger opp denne nyansen, og mener denne vurderingen av sannsynlighet bør eksternaliseres og gjøres tilgjengelig for beslutningstakeren .

Risikovurderinger uten eksplisitt vurdering av sannsynlighet vil i tilfeller med et omfattende datagrunnlag kunne utelate svært relevant informasjon i presentasjon av risiko dersom sannsynlighet ikke blir kommunisert, men vil i større grad kunne ta høyde for særegenheter ved den spesifikke verdien som skal beskyttes.

Mangler en analysebeskrivelse

En annen innvending mot NS 5832 er at den forutsetter omfattende forhåndskunnskaper for de som skal utarbeide risikoanalysen. Tilnærmingen legger til grunn at risiko er mer enn bare en addisjon av verdi + trussel + sårbarhet, men «gir ingen anvisning på hvordan man skal komme fra [verdi, trussel og sårbarhet] over til et uttrykk for risiko.» (s. 37). Denne innvendingen blir adressert av Stranden i FFI-rapporten: «Jeg er prinsipielt imot å lage vurderinger som selv bestemor kan gjennomføre fordi det ofte gir ingen mening. Min forståelse er at en enten gjør en risikoanalyse godt, eller så lar du være å gjennomføre den.» (s. 131). Underforstått er det en fordel at analysen ikke er gjort eksplisitt, fordi det fungerer som en portvokter for dårlige risikoanalyser. I Sikring. En innføring i teori og praksis påpeker Stranden likevel utfordringene med en slik tilnærming:

«Uansett er det viktig å huske på at dette ikke er eksakt vitenskap. Det er heller ikke ment å være det. Trolig vil to ulike personer med akkurat det samme informasjonsgrunnlaget om verdi, trussel og sårbarhet vurdere risikoen forskjellig.»

Fra et vitenskapelig perspektiv er dette en utfordrende tilnærming. Dersom resultatet fra analysen ikke er reliabelt så har analysen svært begrenset vitenskapelig verdi. Når det er sagt, så fremhever Stranden at prosessen er vel så viktig som produktet i en risikoanalyse: «Det kan også argumenteres for at sluttresultatet ikke er det viktigste i en prosess som denne. Det viktigste er at du gjennom denne prosessen lærer virksomheten din å kjenne og har avdekket hvilke faktorer som påvirker risikobildet ditt. Du kan dermed følge disse nøye, sette inn tiltak der du mener det er behov for det, og gjøre justeringer når interne og eksterne faktorer gjør det nødvendig.»

På mange måter er derfor NS 5832 i all hovedsak en mer strukturert tilnærming til vurdering av risiko enn den rent deskriptive tilnærmingen som NSM har lagt til grunn siden 2003. Den tilbyr likevel en metode for å potensielt kunne rangere ulike risikoer mot hverandre, og blant annet Kystverket har operasjonalisert tilnærmingen i sin veileder for utarbeidelse av sårbarhetsvurderinger for havner etter ISPS-regelverket .

Mangler en god løsning på visuell fremstilling av risiko

«Den tradisjonelle bruken av en trekant som illustrasjon er god til å kommunisere hvilke faktorer som inngår i vurderingene, men er uegnet til å kommunisere resultatet.» . I veilederen fra ble det introdusert en illustrasjon som i utgangspunktet burde kunne ivaretatt dette. Utfordringen er likevel at tilnærmingen tar utgangspunkt i at risiko er mer enn bare en addisjon av verdi + trussel + sårbarhet; det er en helhetlig kvalitativ vurdering av hvordan de ulike faktorene påvirker hverandre. I Forsvarsbygg’ operasjonalisering av standarden er derfor risiko presentert på en én-dimensjonal søyle som går fra Ubetydelig til Svært høy risiko . Den samme tilnærmingen blir også presentert i Sikring. En innføring i teori og praksis .

En helhetlig tilnærming som evaluerer faktorene som påvirker risiko, uten å eksternalisere sannsynlighetsvurderingen, gir et større handlingsrom for å kommunisere risiko uten å fastslå en potensielt misvisende sannsynlighet. Denne tilnærmingen er likevel utsatt for kritikk om at det gjøres en implisitt sannsynlighetsvurdering som ikke blir gjort tilgjengelig for beslutningstakeren.

Risikovurderinger uten en vurdering av sannsynlighet kan også være utfordrende å skape situasjonsbevissthet rundt. Risiko presentert på en éndimensjonal skala vil ikke være like umiddelbar intuitivt for en beslutningstaker. Selv om dette er eksplisitt uttrykt å være et mål i seg selv, for å tvinge beslutningstakere til å sette seg inn i risikoanalysen, så gir det ikke umiddelbart situasjonsbevissthet på samme måte som en todimensjonal risikoskala .

Oppsummering

Basert på drøftingene over kan følgende konseptuelle tabell utarbeides. I tabellen er reliabilitet, validitet, situasjonsbevissthet (SA) og situasjonsforståelse (SU) vurdert for sannsynlighetsbaserte tilnærminger (PRA) og ikke-sannsynlighetsbaserte tilnærminger (VTS). Begge hovedretningene er mangefasettert, men tabellen under gir en visuell fremstilling av hovedkonklusjonene i drøftingen. Pluss (+) betyr god og gir +1, skråstrek (/) betyr nøytral og gir 0 og minus (−) betyr dårlig og gir -1.

	Reliabilitet		Validitet		SA		SU
	PRA	VTS	PRA	VTS	PRA	VTS	PRA	VTS
Angrep med høy frekvens	+	/	+	/	+	/	−	+
Angrep med lav frekvens	−	/	/	/	−	/	−	+

I tabellen får sannsynlighetstilnærmingen (PRA) samlet +2 for angrep med høy frekvens og -3 for angrep med lav frekvens. Ikke-sannsynlighetstilnærmingen (VTS) får +1 for angrep med høy frekvens og +1 for angrep med lav frekvens. I denne analysen er ikke de fire vurderingskriteriene vektet innbyrdes, og vurderingene i tabellen må i beste fall bli sett på som veiledende. Tabellen utgjør likevel et mulig utgangspunkt for en studie med ulike ekspertgrupper som får utlevert det samme datagrunnlaget og blir bedt om å gjøre en risikovurdering basert på de to tilnærmingene. På bakgrunn av en slik studie vil det kunne være mulig å vitenskapelig vurdere reliabiliteten for de ulike tilnærmingene. En slik studie kunne også inkludert en vurdering av opplevd enkelhet ved bruk av de ulike tilnærmingene.

Avslutning

I denne kortstudien er det redegjort for ulike tilnærminger til vurdering av risiko for angrep som har utspring fra ulike faglige bakgrunner. Formålet med alle tilnærmingene er å vekte omfanget av angrepssikringstiltak mot trusselsituasjonen. utarbeidet en gjennomgang av flere internasjonale tilnærminger til vurdering av risiko for angrep, men konkluderte med at det ikke er etablert en felles beste praksis i sikkerhetsmiljøene . Styrker og svakheter med de ulike tilnærmingene er trukket frem i redegjørelsen. Et utvalg av utfordringene med de identifiserte tilnærmingene er listet opp under.

• For angrep med lav frekvens er sannsynlighet forbundet med svært stor usikkerhet, og kan være mer villedende enn veiledende.
• Risikomatrise for angrep skjuler underliggende faktorer som påvirker både sannsynlighet og konsekvens.
• Risikovurderinger med sannsynlighet = 1 er i praksis sårbarhetsvurderinger.
• Risikovurderinger uten eksplisitt sannsynlighet gir ikke intuitivt situasjonsbevissthet.
• Risiko i rene kvalitative risikovurderinger gir ikke grunnlag for å sammenligne og rangere risiko innbyrdes.
• NS 5832 har ingen metodebeskrivelse for hvordan reliabelt fastsette et risikonivå.
• Scenariobaserte risikovurderinger er sårbare for svarte svaner.

For angrep med høy frekvens er bruken av sannsynlighet vurdert å kunne være hensiktsmessig, men for angrep med svært lav frekvens er sannsynlighet identifisert å ha lav nøyaktighet, være lite reliabel og potensielt også misvisende. I tillegg vil fremstillingen med sannsynlighet x konsekvens kunne være lite informativ, ettersom det kan være enkeltfaktorer som bidrar til å øke både sannsynlighet og konsekvens som ikke blir synliggjort i fremstillingen. I den neste kortstudien er formålet å identifisere hvilke faktorer som bidrar til å øke både sannsynlighet og konsekvens, med hovedvekt på nasjonal sikkerhet.

Bibliografi