Sikkerhet på norsk

A Person Making a Move in a Chess Game

En indikatorbasert tilnærming til vurdering av angrepsrisiko

Johannes Ødegård

Tidligere kortstudier har identifisert metodiske utfordringer for angrepsrisikovurderinger. I denne artikkelen utarbeider og drøfter jeg en indikatorbasert tilnærming. Tilnærmingen tar utgangspunkt i CARVER og de foregående kortstudiene. I kortstudien er det først en kort gjennomgang av relevante deler fra tidligere kortstudier, etterfulgt av en gjennomgang av ulike kategorier etterretningsspørsmål. Deretter blir tilnærmingen utarbeidet og drøftet.

Angrep vs. ulykker

I Safety vs. Security og Angrepssikkerhet er det identifisert et skille mellom angrep og ulykker.

angrep: en forsettlig handling som er uønsket av den som blir utsatt for den.
Eksempler: tyveri, vold, spionasje, sabotasje, terror og militære anslag.

ulykke: en utilsiktet hendelse som er uønsket av den som blir utsatt for den.
Eksempler: uhell, uaktsomhet, arbeidsulykker og naturkatastrofer

Den indikatorbaserte tilnærmingen til risikovurdering i kortstudien tar utgangspunkt i risiko for angrep.

Nasjonal sikkerhet vs. samfunnssikkerhet

I Sikkerhet og risiko – en begrepsanalyse er det identifisert et skille mellom nasjonal sikkerhet og samfunnssikkerhet basert på definisjonene under:1Definisjonene under er noe revidert i forhold til definisjonene i kortstudien Sikkerhet og risiko – en begrepsanalyse.

nasjonal sikkerhet: beskyttelse av staten mot angrep og ulykker, herunder opprettholdelse av grunnleggende nasjonale funksjoner, med den hensikt å ivareta nasjonale sikkerhetsinteresser.

samfunnssikkerhet: beskyttelse av sivilsamfunnet mot ulykker og angrep, herunder opprettholdelse av samfunnets grunnleggende funksjoner, med den hensikt å redusere tap av liv, helse, miljø og store materielle verdier.

Hensikten med de to tilnærmingene er ulike, men begge vektlegger opprettholdelsen av grunnleggende funksjoner. Tilnærmingen til risikovurdering i denne kortstudien har en funksjonell innretning, og vurderer konsekvenser i lys av bortfall av funksjoner i et system, og ikke menneskelige eller materielle verdier.

Tilnærminger til vurdering av angrepsrisiko

I Tilnærminger til vurdering av angrepsrisiko er blant annet metodiske og praktiske utfordringer med eksisterende tilnærminger til angrepsrisikovurderinger identifisert. Under følger et par hovedpunkter fra kortstudien:

  • For angrep med lav frekvens er det krevende og metodisk utfordrende å utarbeide en reliabel og nøyaktig sannsynlighetsvurdering.
  • Gjensidige variabler bidrar i liten grad til situasjonsforståelse.
  • Risiko i rene kvalitative risikovurderinger gir ikke grunnlag for å sammenligne og rangere risiko innbyrdes.
  • En god tilnærming til risikovurdering gir effektivt både situasjonsbevissthet og situasjonsforståelse.
  • En god tilnærming til en risikovurdering har en enkel metodebeskrivelse som gir både nøyaktige og reliable kvalitative og kvantitative vurderinger.
  • Scenariobaserte risikovurderinger er sårbare for svarte svaner.

Angrep knyttet til nasjonal sikkerhet er ofte i kategorien angrep med lav frekvens. Det er mulig å utarbeide statistikk på et overordnet nivå for sabotasjeoperasjoner i en krig, men i en dynamisk konfliktsituasjon vil særegenheten ved aktuelle mål, spesielt i lys av en pågående operasjon, gjøre at generell sannsynlighet for sabotasje vil ha lav validitet for en bestemt skjermingsverdig verdig.

Sannsynligheten for et angrep

I Sannsynligheten for et angrep er CARVER-metoden for metodisk målanalyse introdusert. CARVER har en funksjonell tilnærming til et mål, som innebærer at målet vurderes i lys av funksjonen det utgjør for den som angripes. Beskrivelsene under er basert på beskrivelsene i feltmanual 34-36 og sitert fra Sannsynligheten for et angrep.

Criticality (Kritikalitet): Kritikalitet er en vurdering av hvor avgjørende et mål er for det systemet som skal angripes. Et mål er kritisk når ødeleggelse eller nøytralisering får betydelige militære, politiske eller økonomiske konsekvenser. Et mål vurderes i lys av andre elementer i det samme systemet, både med tanke på redundans og betydning i systemet det er en del av. Et mål kan eksempelvis endre kritikalitet over tid – eksempelvis dersom et redundant system faller bort: dersom det er to jernbanebroer over en elv vil kritikaliteten til den gjenstående broen øke dersom den andre broen blir ødelagt. Betydningen må også vurderes i lys av andre elementer, eksempelvis hvor avgjørende logistikk langs jernbane er for parten som blir angrepet.

Accessibility (Tilgjengelighet): Tilgjengelighet er en vurdering av hvor enkelt det er å komme seg til et sted hvor målet kan angripes fra, samt tilbaketrekning. Vurderingen innbefatter blant annet en vurdering av perimetersikring og deteksjonssystemer i tillegg til fremføringsaker og geografisk plassering.

Recuperability (Gjenoppretting): Gjenoppretting er en vurdering av hvor lang tid det tar å gjenopprette funksjonen til målet, herunder tilgjengelige reservedeler og kannibaliseringsmuligheter.

Vulnerability (Motstandsdyktighet): Motstandsdyktighet er en vurdering av hvor omfattende et angrep må være for å kunne forårsake et bortfall av funksjonen. Dette innebærer blant annet en vurdering av om målet kan angripes med håndvåpen eller om målet krever bruk av en betydelig mengde sprengstoff.

Effect (Effekt): Effekt er en vurdering av indirekte konsekvenser som følger av å angripe målet. Dette innebærer blant annet mulige militære, politiske, økonomiske, psykologiske og sosiologiske konsekvenser både på målet og videre ringvirkninger. Effekt innebærer en vurdering av alle signifikante effekter, både ønskede og uønskede, som kan følge av et angrep på målet. Dette inkluderer blant annet mottiltak fra den som blir angrepet og kollateral skade på målet. Her må det også tas høyde for at effekter kan være positive på et taktisk nivå samtidig som de er negative på et strategisk nivå.

Recognizability (Synlighet): Synlighet er en vurdering av hvor lett gjenkjennelig målet er, både med tanke på gjennomføring av operasjonen og etterretning i forkant. Er målet vanskelig å oppdage vil det også kreve mer ressurser for å identifisere det.

I analysen av CARVER og teori om rasjonelle aktører ble det konkludert med følgende:

  • Egenskaper ved en verdi (CARVER) påvirker både sannsynlighet og konsekvens
  • CARVER gir lav oppløselighet på eksterne faktorer som påvirker trusselaktørens kost/nytte-vurdering

CARVER er vurdert å være en egnet tilnærming for å identifisere viktige faktorer som påvirker risiko, men er ikke tilstrekkelig i sin helhet for å utarbeid en risikovurdering.

Sikkerhetens ontologi

I Sikkerhetens ontologi er det foreslått en tilnærming til risiko som tar utgangspunkt i at risiko er rasjonalisering av frykt. Risiko er her ikke en vurdering av sannsynlighet og konsekvens, men en tilstand hvor frykt er håndtert og akseptert. Forholdet mellom frykt og risiko er godt etablert i litteraturen . Henvisninger til denne forståelsen av risiko blir i kortstudien omtalt som sikkerhetens ontologi. De fire bestanddelene av sikkerhetens ontologi er konsekvenser2tapspotensiale for diskurs, trussel3fare, sårbarhet og usikkerhet.

Etterretningsspørsmål

I etterretningsfaget er det identifisert tre ulike kategorier av etterretningsspørsmål: hemmeligheter, mysterier og kompleksiteter .

En hemmelighet er noe konkret som kan bli stjålet av en spion eller bli avdekket av en teknisk sensor . Et mysterium er en intensjon som foreløpig ikke har blitt materialisert , mens det høyeste nivået av kompleksitet er når svarer beror på en vurdering av vekselvirkninger mellom analyseobjektet og egne handlinger basert på analyseobjektets handlinger.

[S]ecrets are hard to find out, mysteries are hard to assess, and complexities involves second-guessing the moves of one’s own side .

Selv om hemmeligheter er vanskelig å finne ut av, vil de kunne besvares med potensielt høy grad av sikkerhet. For mysterier vil derimot usikkerheten alltid være stor, og for kompleksiteter er den enda større.

En indikatorbasert tilnærming

I den kommende analysen tar jeg utgangspunkt i CARVER og reviderer og tilpasser den i lys av de tidligere kortstudiene, samt integrerer den med krav om skadevurdering i lov om nasjonal sikkerhet . Bestanddelene i sikkerhetens ontologi utgjør de fire indikatorene.

Konsekvenser ved et angrep

I CARVER-metoden påvirker både kritikalitet (C) og gjenoppretting (R) konsekvensene for en funksjon ved et angrep. Kritikaliteten av målet vurderes i lys av hvor stor skade et bortfall vil få ved et angrep. Den samme tilnærmingen er lagt til grunn i lov om nasjonal sikkerhet, hvor skjermingsverdige objekter, infrastrukturer og informasjonssystemer skal klassifiseres på bakgrunn av en skadevurdering ved bortfall. Klassifiseringen har nivåene MEGET KRITISK, KRITISK og VIKTIG (sikkl. § 7–2).

For en skjermingsverdig verdi etter sikkerhetsloven kan konsekvensen i en risikovurdering for nasjonal sikkerhet fastsettes på bakgrunn av etablerte skadevurderinger, i tillegg til en vurdering av tid og ressursbehov for gjenoppretting av funksjonen ved bortfall. Samlet kan dette uttrykkes som konsekvensnivå.

Trusselen for et angrep

I tidligere kortstudier er det identifisert at det er problematisk å vurdere sannsynlighet for angrep med lav frekvens. Ser vi derimot bort fra begrepet sannsynlighet, men legger til grunn at risiko er rasjonalisert frykt, er det likevel flere faktorer som påvirker hvor rasjonelt det vil være å frykte et angrep. Flere av disse faktorene kan fastsettes med relativt høy grad av sikkerhet: I sikkerhetens ontologi er det etablert at angrepsrisiko ikke kan eksistere uten tilstedeværelse av en aktør som ønsker å gjennomføre et angrep. Hvorvidt en aktør ønsker å gjennomføre et angrep på kort eller lang sikt er et etterretningsmysterium som vil ha høy grad av usikkerhet. Hvorvidt det finnes en trusselaktør som har lagt en plan om å, gitt de rette forutsetningene, gjennomføre et angrep mot en bestemt verdi, er derimot en etterretningshemmelighet som det er mulig å få svar på med høyere grad av sikkerhet.

Målbilde

Dersom det eksisterer en aktør som har utarbeidet en konkret plan om å angripe en bestemt verdi, så øker trusselen for et angrep mot denne verdien. Er det i tillegg flere aktører som har utarbeidet en plan om å angripe den bestemte verdien, så øker trusselen ytterligere. Omfanget av aktører som har den bestemte verdien i sitt målbilde øker dermed trusselen for et angrep. Hvor spesifikt målbildet er påvirker også trusselen. Dersom målbildet til en trusselaktør eksempelvis er kraftsektoren i stort, og den aktuelle verdien er et bestemt kraftanlegg, så er trusselen tilstede. Er derimot målbildet knyttet til det konkrete kraftanlegget øker trusselen.

Evne

Hvilke evner de aktuelle trusselaktørene har til å påføre skade på verdien påvirker også trusselnivået. Dersom de eneste trusselaktørene som har verdien i sitt målbilde er tenåringer med sprettert, er ikke trusselnivået spesielt høyt selv om de har lagt helt konkrete planer om å angripe verdien.

Relasjon

Den siste faktoren som påvirker trusselnivået er relasjonen mellom trusselaktøren og verdieieren. Eksempelvis vil trusselen for et angrep være svært høy om det allerede pågår en væpnet konflikt mellom partene, mens den vil være lavere dersom konfliktnivået mellom partene er lavt. På samme måte vil en trusselaktør ha mer å tape på å bli avslørt for spionasje mot en alliert enn mot en motstander. Relasjonen mellom partene påvirker derfor trusselnivået. Dette er indirekte en vurdering av effekt (E) i CARVER, og omhandler eksterne forhold utenfor selve verdien som skal beskyttes.

Samlet danner omfanget av trusselaktører, spesifikkheten på målbildet, trusselaktørenes evner og deres relasjon til verdieieren trusselnivå.

Sårbarheten for et angrep

I sikkerhetens ontologi kan ikke risiko eksistere uten at det er identifisert et mulig tid og sted hvor en trusselaktør kan påføre et tap på en verdi, og usikkerhet knyttet til dette. Et tid og sted hvor en trusselaktør kan påføre et tap på en verdi omtales som en sårbarhet. De «gjenværende» komponentene av CARVER er nå tilgjengelighet (A), motstandsdyktighet (V) og synlighet (R). Disse tre faktorene påvirker tid og sted hvor en trusselaktør kan påføre tap på en verdi. Dersom trusselaktøren ikke finner målet, kan hen heller ikke påvirke det. Dersom trusselaktøren finner det, men ikke kan nå det, kan hen heller ikke påvirke det, og dersom trusselaktøren kan nå det, men målet er mer motstandsdyktig enn trusselaktørens evner til å angripe det, er det heller ikke sårbart.

For å unngå avhengige variabler vurderes ikke sårbarhet i lys av de identifiserte trusselaktørene, men i lys av en uavhengig vurdering av hvor ressurskrevende det er å finne, komme seg til, og ødelegge den skjermingsverdige verdien. Denne vurderingen kan uttrykkes gjennom et sårbarhetsnivå.

Usikkerhet i analysen

Selv om det er argumentert for at alle faktorene som analyseres over kan fastslås med relativt høy sikkerhet, vil det alltid være usikkerhet knyttet til både datagrunnlaget og vurderingene som er gjort. Usikkerhetsnivå er et uttrykk for hvor mye høyere konsekvensnivå, trusselnivå og sårbarhetsnivå kan være enn det som er lagt til grunn i analysen. Usikkerhet kan også føre til at de kan være lavere, men i sikkerhetens ontologi er usikkerhet i seg selv identifisert å øke risiko4jf. kontaktflate i sikkerhetens ontologi..

I figur 1 er indikatorene konsekvensnivå, trusselnivå, sårbarhetsnivå og usikkerhetsnivå, med faktorer som kan påvirke de respektive indikatorene, visualisert.

Figur 1: Hierarkisk modell over faktorer som påvirker indikatorene konsekvensnivå, trusselnivå, sårbarhetsnivå og usikkerhetsnivå.

Drøfting

I analysen over er det foreslått fire overordnede indikatorer som samlet gir et uttrykk for angrepsrisiko: konsekvensnivå, trusselnivå, sårbarhetsnivå og usikkerhetsnivå. Konsekvens, trussel og sårbarhet er kjente størrelser innen risikoanalyser, men tilnærmingen R = T x V x C er frarådet brukt i risikovurderinger for angrep .

En avgjørende forskjell på den indikatorbaserte tilnærmingen over, og kritikken av R = T x V x C, er at i R = T x V x C blir T forstått som sannsynlighet for angrep, og V forstått som sannsynlighet for vellykkethet. I den indikatorbaserte tilnærmingen er ikke trusselnivå et uttrykk for sannsynlighet for angrep, men et uttrykk for identifiserte faktorer som gjør det rasjonelt å frykte et angrep. Fra et sannsynlighet x konsekvens-perspektiv påvirker med andre ord trusselnivå både konsekvens og sannsynlighet: Med hensyn til konsekvens, så kan en kapabel trusselaktør forårsake større konsekvenser enn en mindre kapabel trusselaktør. Med hensyn til sannsynlighet, så øker den om det er flere trusselaktører som er identifisert å ha verdien i sitt målbilde. Tilsvarende er ikke sårbarhetsnivå et uttrykk for sannsynlighet for vellykkethet, men påvirker både sannsynligheten for at et angrep blir forsøkt gjennomført (synlighet, tilgjengelighet og oppfattet motstandsdyktighet) og sannsynligheten for at et angrep er vellykket (reell motstandsdyktighet). Faktorene konsekvensnivå, trusselnivå og sårbarhetsnivå kan derfor ikke kombineres på en to-dimensjonal akse, men utgjør sammen med usikkerhetsnivå de fire hovedkomponentene av risiko.

En slik tilnærming vil effektivt kunne gi situasjonsforståelse, ettersom hovedårsakene til at risikoen er som den er, enkelt kan kommuniseres. Fra et tiltaksperspektiv vil også disse fire faktorene kunne anvendes for å direkte utlede tiltak for å redusere risiko:

  • Høyt konsekvensnivå:
    • Reduser kritikalitet gjennom etablering av redundans.
    • Reduser gjenoppretting gjennom anskaffelse av reservedeler.
  • Høyt sårbarhetsnivå:
    • Reduser tilgjengelighet gjennom etablering av barrierer eller lokasjonsendring.
    • Reduser synlighet gjennom kamuflasje eller maskering.
    • Øk motstandsdyktighet gjennom etablering av sikrings- og reaksjonsstyrker samt andre generelle sikringstiltak.
  • Høyt usikkerhetsnivå:
    • Reduser usikkerhet gjennom å utvide risikoanalysen med ny data og kompetanse.
  • Høyt trusselnivå:
    • Påvirker hvorvidt de øvrige tiltakene bør bli prioritert gjennomført eller kan avvente.

I neste del av drøftingen evaluerer jeg tilnærmingen i lys av de identifiserte utfordringene i Tilnærminger til vurdering av angrepsrisiko og Sannsynligheten for et angrep.

For angrep med lav frekvens er det krevende og metodisk utfordrende å utarbeide en reliabel og nøyaktig sannsynlighetsvurdering.

Sannsynlighetsvurderinger er ikke en del av tilnærmingen, og unngår dermed denne utfordringen.

Gjensidige variabler bidrar i liten grad til situasjonsforståelse.

I tilnærmingen er det vektlagt å unngå avhengigheter mellom variablene. Innen sikkerhetsfaget omtales likevel manglende redundans og gjenoppretting tidvis som sårbarheter. En vellykket implementering av tilnærmingen forutsetter derfor at det skilles mellom sårbarhets-økende faktorer, som synlighet, tilgjengelighet og motstandsdyktighet, og konsekvens-økende faktorer som manglende redundans og gjenoppretting. Sårbarhet er med andre ord et uttrykk for enkelhet (hvor enkelt er det å gjennomføre et vellykket angrep), mens konsekvens er konsekvenser for verdieier ved bortfall av verdien.

Begrepet trusselnivå blir i enkelte kontekster forstått som en kombinasjon av sannsynlighet og omfang.5Se eksempelvis PSTs terrortrusselskala . Etterretningstjenesten skiller derimot tydeligere mellom sannsynlighet og konsekvens . I tilnærmingen påvirker både sårbarhet, konsekvens og trusselnivå det som i en sannsynlighet x konsekvens-tilnærming omtales som sannsynlighet. En vellykket implementering forutsetter derfor at trusselnivå blir vurdert uavhengig av konsekvenser og sårbarheter, og holdes avgrenset til vurderinger av aktører med målbilde, deres evner og relasjon mellom trusselaktør og verdieier. Tilnærmingen unngår med dette problemet med gjensidige variabler, gitt at implementeringen ivaretar definisjonene og avgrensningene som beskrevet.

Risiko i rene kvalitative risikovurderinger gir ikke grunnlag for å sammenligne og rangere risiko innbyrdes.

I tilnærmingen over er det ikke etablert en skala for de ulike nivåene. Tilnærmingen omfatter likevel alle faktorer som påvirker risiko i sikkerhetens ontologi, og ettersom de ulike indikatorene er uavhengige av hverandre kan risiko måles og uttrykkes gjennom en summering av en numerisk verdi for de ulike nivåene. På denne måten vil en kvalitativ vurdering kunne omgjøres til en kvantitativ vurdering med potensielt høy reliabilitet og nøyaktighet.

En god tilnærming til risikovurdering gir effektivt både situasjonsbevissthet og situasjonsforståelse.

I tilnærmingen over er det ikke introdusert noen visuell fremstilling. Ettersom indikatorene er uavhengige er det likevel mulig å fremstille resultatet av analysen i et radardiagram. I figur 2 er to ulike analyseobjekter analysert ved siden av hverandre med utgangspunkt i en skala fra 1-5 for hvert nivå. I radardiagrammet for Analyseobjekt 2 er konsekvensnivået redusert fra 4 til 2 sammenlignet med Analyseobjekt 1. Denne reduksjonen er visuelt synlig og viser at risikoen forbundet med Analyseobjekt 1 er større enn den er for Analyseobjekt 2 – på grunn av større konsekvenser ved bortfall.

Figur 2: Visuell fremstilling av indikatorene i et radardiagram.

Til forskjell fra et koordinatsystem, hvor flere analyser kan plasseres i den samme illustrasjonen, krever denne tilnærmingen en egen illustrasjon for hvert analyseobjekt. Tilnærmingen gir dermed ikke like effektivt og intuitivt situasjonsbevissthet som en presentasjon av to faktorer i et koordinatsystem, men gir til gjengjeld bedre situasjonsforståelse, ettersom tiltak kan knyttes direkte til hjørnene i illustrasjonen. Tilnærmingen forutsetter heller ikke flere scenario per analyseobjekt, og dette problemet er dermed avgrenset til behovet for å visualisere flere ulike analyser samtidig.

En god tilnærming til en risikovurdering har en enkel metodebeskrivelse som gir både nøyaktige og reliable kvalitative og kvantitative vurderinger.

I tilnærmingen er det ikke utarbeidet en metodebeskrivelse, men i drøftingen er det løftet frem et par fallgruver knyttet til sammenblanding av begreper. Blandes begrepene sammen kan det medføre at uavhengigheten til variablene ikke blir opprettholdt. En metodebeskrivelse for denne tilnærmingen bør dermed beskrive fallgruvene.

Ettersom faktorene som ligger til grunn for de ulike indikatorene potensielt kan fastslås med høy grad av sikkerhet og nøyaktighet, vil dette bidra til at også kvalitative og kvantitative vurderinger vil kunne være valid og reliable. Avhengig av oppløselighet på de numeriske verdiene (skala fra 1-5 vs. skala fra 1-10 eller 1-100) kan også vurderingene fastslås med en høyere eller lavere grad av nøyaktighet.

Scenariobaserte risikovurderinger er sårbare for svarte svaner.

Tilnærmingen tar ikke utgangspunkt i scenarier og er ikke eksponert for svarte svaner på samme måte som scenariobaserte tilnærminger. Samtidig vil det kunne være trusselaktører som ikke er identifisert som kan velge å gjennomføre et angrep. Tilnærmingen er derfor ikke immun mot denne utfordringen.

Egenskaper ved en verdi (CARVER) påvirker både sannsynlighet og konsekvens

Ettersom tilnærmingen ikke tar utgangspunkt i sannsynlighet og konsekvens er ikke denne utfordringen en relevant problemstilling.

CARVER gir lav oppløselighet på eksterne faktorer som påvirker trusselaktørens kost/nytte-vurdering

I CARVER vurderes alle andre konsekvenser enn kritikalitet og gjenoppretting under effekter (E). Den avskrekkende effekten av et lavt sårbarhetsnivå på målet påvirker kost/nytte-vurderingen, men motreaksjoner som sanksjoner og militære angrep utgjør likevel i de fleste tilfeller en betydelig mer substansiell del av kost/nytte-vurderingen enn selve målet i seg selv. Denne faktoren er en etterretningskompleksitet og er forbundet med høy grad av usikkerhet. Faktoren er ikke direkte ivaretatt i tilnærmingen, men vurderes indirekte i faktoren relasjon under trusselnivå. En nedbrytning av indikatorer for å vurdere faktoren relasjon kunne vært hensiktsmessig, og vektingen av relasjon mot målbilde og kapabilitet bør utredes videre. Hvorvidt relasjon er det mest hensiktsmessige navnet på denne faktoren bør også være gjenstand for videre drøfting. I tidligere utkast til denne tilnærmingen har jeg brukt både begreper som «risikovilje» og «vilje». Ettersom disse begrepene i stor grad kan tolkes til å inkludere vilje som følge av konsekvenser eller sårbarheter, har jeg likevel landet på at det er mest hensiktsmessig å anvende et begrep som tydeliggjør at vurderingen skal gjøres uavhengig av konsekvens og sårbarhet.

I den videre drøftingen vil jeg kort drøfte et par andre relevante forholdet i anvendelsen av denne tilnærmingen.

Forholdet til etterretningssannsynlighet

I fastsettelsen av et trusselnivå vil det være behov for informasjon om trusselaktører. Innen etterretningsfaget omtales dette som et etterretningsbehov . For å svare ut etterretningsbehov bruker både Etterretningstjenesten og Politiets sikkerhetstjeneste standardiserte begreper for å kommunisere usikkerhet, omtalt som sannsynlighetsord. Begrepsbruken har sitt opphav i identifiserte avvik mellom det analytikerne forsøkte å formidle, og det mottakerne oppfattet . Det ble derfor foreslått en tilnærming som tok utgangspunkt i ulike standardiserte intervaller for usikkerhet, omtalt som subjektiv sannsynlighet, med tilhørende begreper. Denne tilnærmingen er videreført og etablert i både NATO-doktriner og nasjonale doktriner .

Sannsynlighetsbegrepene anvendes for å uttrykke usikkerhet på ulike måter. For etterretnings-hemmeligheter brukes sannsynlighet for å uttrykke hvor sikker en analytiker er i en vurdering av faktiske forhold. Hvorvidt en trusselaktør har lagt en plan om å angripe et spesifikt mål er en slik hemmelighet. Dersom flere ulike etterretningsoperasjoner har avdekket uavhengige informasjonsbiter om planer for å angripe et spesifikt mål kan det vurderes som at trusselaktøren MEGET SANNSYNLIG har utarbeidet planer om å angripe det aktuelle målet. Dersom informasjonen ikke er like entydig kan vurderingen eksempelvis være at det er SANNSYNNLIG at trusselaktøren har utarbeidet planer om å angripe det aktuelle målet. Å fastslå at en trusselaktør ikke har lagt planer om å angripe et mål er derimot betydelig mer krevende og er utsatt for problemet med induksjon (se: ). Dersom det ikke er funnet noen indikasjoner på at en trusselaktør har planlagt å angripe et mål, vil en etterretningsvurdering kunne være at det er LITE SANNSYNLIG at trusselaktøren har planlagt å angripe målet. Er det til gjengjeld innhentet svært lite informasjon, vil denne vurderingen kunne bli etterfulgt av et forbehold om LAV konfidens6Konfidens er et annet begrep innen etterretningsfaget, og omhandler usikkerhet i vurderingen som er gjort. NATO og norske etterretningsorganisasjoner skiller mellom LAV, MODERAT og HØY KONFIDENS .

I den indikatorbaserte tilnærmingen til risikovurderinger tas det høyde for usikkerhet i usikkerhetsnivå. I trusselnivå legges en trusselaktør til grunn dersom det er sannsynlighetsovervekt for at det eksisterer en konkret eller generell plan om å angripe verdien. Usikkerhet knyttet til om det kan være flere aktører som kan ha en konkret eller generell plan om å angripe verdien inngår i vurderingen av usikkerhetsnivå.

Hvorvidt en trusselaktør i fremtiden kan komme til å legge en plan om å angripe et mål er derimot et etterretnings-mysterium. Etterretningsvurderinger knyttet til slike informasjonsbehov er uløselig forbundet med en lavere grad av konfidens, ettersom det innebærer en vurdering av fremtidige kognitive vurderinger hos en trusselaktør. I vurderingen av trusselnivå vil det derfor kunne være mest hensiktsmessig å legge til grunn nåsituasjonen, men med vid forståelse av en plan. Eksempelvis vil alle gullsmedforretninger kunne legge til grunn at de er i målbildet for vinningskriminelle, mens eventuell etterretningsrapporter vil kunne bidra til å øke indikatoren for hvor spesifikt den aktuelle gullsmedforretningen er i et målbilde.

Endringer i forutsetningene

Tilnærmingen tar utgangspunkt i at risikovurderingen er et produkt med lang tidshorisont, men som kontinuerlig må revideres i lys av endrede forutsetninger. Blir det eksempelvis etablert en ny verdi som utgjør redundans for den aktuelle verdien, så synker kritikaliteten. Er det gjort endringer i omkringliggende forhold som gjør at tilgjengeligheten stiger eller synker, fører dette også eksempelvis til at sårbarhetsnivå må revideres. Er det lenge siden risikovurderingen ble revidert vil usikkerhetsnivået øke i takt med tiden siden sist de ulike nivåene ble vurdert. Trusselnivå må også revideres basert på endringer i trusselsituasjonen.

I tillegg kan det mottas etterretningsrapporter om et nært forestående angrep, eksempelvis at det er SANNSYNLIG at en bestemt verdi vil bli angrepet i løpet av den neste måneden. Dette bidrar til å sende indikatorene for både målbilde og relasjon til toppnivå, men bør ikke minst bidra til at det umiddelbart gjennomføres påbyggingstiltak i henhold til etablerte sikringsplaner for den skjermingsverdige verdien. Dette skillet mellom langtidsvurderinger og kortidsvurderinger i angrepsrisikostyring er drøftet av blant annet .

Forholdet til scenarier

I tilnærmingen til risikovurdering legges det i utgangspunktet ikke opp til bruk av scenario. Konsekvensnivå fastsettes likevel på bakgrunn av det som i praksis er et verstefallsscenario – totalt bortfall av funksjonen. I sårbarhetsvurderinger vil det også i praksis måtte anvendes en scenariotilnærming for å eksempelvis identifisere hvor motstandsdyktig en verdi er. I sikkerhetsstyring med utgangspunkt i denne tilnærmingen bør det også utarbeides beredskapsplaner med utgangspunkt i ulike scenario. Eksempelvis bør det for en bro som har lav kritikalitet i fredstid, men kan få svært høy kritikalitet i krig, utarbeides og øves på etablering av påbyggingstiltak for å håndtere en endring av kritikalitet fra VIKTIG til MEGET KRITISK.

Forholdet til ikke-funksjonelle konsekvenser

Den funksjonelle tilnærmingen tar utgangspunkt i at kritikalitet måles basert på et totalt bortfall av funksjonen. Dette gjør at andre effekter som eksempelvis politiske og sosiale følger av et angrep ikke påvirker konsekvens. I en operasjonalisering av tilnærmingen bør det tas høyde for at også andre effekter kan påvirke konsekvensnivået. I Sannsynligheten for et angrep er det avdekket at slike effekter kan være svært krevende å fastslå. Effektene vil også variere basert på hvem aktøren er, hva motivet var og hvor store skader som ble forårsaket av et gitt angrep. Dette bør det tas høyde for i operasjonaliseringen av tilnærmingen. For å ivareta en scenariouavhengig tilnærming kan det identifiseres indikatorer som kan bidra til å øke konsekvensnivået. Eksempelvis kan et symbolbygg bli gitt ett høyere konsekvensnivå enn hva kritikalitet og gjenoppretting i seg selv tar høyde for.

I lov om nasjonal sikkerhet er det også stilt krav til sikkerhetsgradering av informasjon som er skjermingsverdig av konfidensialitetshensyn. Konsekvensene for kompromittering av slik informasjon vurderes ikke på bakgrunn av kritikalitet og gjenoppretting for en funksjon, men på bakgrunn av skadefølger for nasjonale sikkerhetsinteresser . Kompromittering av sikkerhetsgradert informasjon kan likevel medføre behov for konsekvensreduserende tiltak, og omfanget av nødvendige konsekvensreduserende tiltak for den aktuelle informasjonen, kan inngå i konsekvensnivået.

For angrepsrisiko som ikke er knyttet til nasjonal sikkerhet, eksempelvis større folkeansamlinger, vil heller ikke konsekvenser være knyttet til en funksjon. Tilnærmingen kan likevel være anvendelig gitt at konsekvensnivå blir definert på bakgrunn av fastsatte kriterier, eksempelvis hvor stor folkemengden er. Dette bør kartlegges nærmere i en operasjonalisering av tilnærmingen.

Avslutning

I denne kortstudien er det utarbeidet en indikatorbasert tilnærming til risikovurdering for angrep. Tilnærmingen tar utgangspunkt i de foregående kortstudiene og innebærer en gjensidig uavhengig vurdering av indikatorene konsekvensnivå, trusselnivå og sårbarhetsnivå. Usikkerhet knyttet til om de identifiserte nivåene kan være høyere enn det som er lagt til grunn uttrykkes i et usikkerhetsnivå. Tilnærmingen ivaretar de fleste utfordringene som er identifisert med eksisterende tilnærminger, men en vellykket operasjonalisering forutsetter at uavhengigheten mellom variablene blir ivaretatt. Spesielt trusselnivå kan være utsatt for misforståelser, ettersom det i denne tilnærmingen ikke tar inn alle faktorer som påvirker sannsynlighet, men er avgrenset til målbilde, evner og relasjon. Andre faktorer som påvirker sannsynlighet, som kritikalitet og enkelhet av å angripe verdien, er ikke en del av trusselnivå. Selv om tilnærmingen er utarbeidet på bakgrunn av en funksjonell tilnærming til konsekvenser er den identifisert å være mulig å operasjonalisere også for ikke-funksjonelle konsekvenser. I den neste kortstudien operasjonaliseres tilnærmingen til en metode for utarbeidelse av angrepsrisikovurderinger i et nasjonalt sikkerhetsperspektiv.

Bibliografi

, , ,

Legg igjen en kommentar

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

Nyeste artikler

Kategorier