Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger
Om publikasjonen
Rapportnummer
2015/00923
ISBN
9788246425412
Format
PDF-dokument
Størrelse
2 MB
Språk
Norsk
FFI har på oppdrag for Forsvarsbygg (FB) vurdert forskjellige tilnærminger til risikovurderinger
for sikring mot tilsiktede uønskede handlinger (security), med spesiell vekt på FBs to
tilnærminger. Den ene tilnærmingen er basert på Norsk Standard 5814:2008 der risiko defineres
som et “uttrykk for kombinasjonen av sannsynligheten for og konsekvensen av en uønsket
hendelse”. Den andre er basert på den nye standarden NS 5832: 2014 der sikringsrisiko er
definert som et “uttrykk for forholdet mellom trusselen mot en gitt verdi og denne verdiens
sårbarhet overfor den spesifiserte trusselen” (ofte kalt trefaktormodellen), og en vurdering av
sannsynligheten for at et scenario kan inntreffe er med hensikt utelatt.
FBs to tilnærminger har mange likhetstrekk. Forskjellen er at i tilnærmingen basert på NS 5814
foretas en separat vurdering av muligheten for at et angrep finner sted og er vellykket, og denne
vurderingen er basert på en kunnskapsbasert sannsynlighetsvurdering. Videre ligger forskjellene i
hvordan risiko kommuniseres, og her har begge modellene svakheter. Fordelen med
risikomatrisen er at den er enkel å forstå. Faren er at den kan overforenkle og gi inntrykk av større
sikkerhet enn det er grunnlag for. Den kommuniserer ikke usikkerhet. Trekanten eller de tre
sirklene som er koblet sammen for å kommunisere resultatene fra trefaktormodellen, illustrerer
bare hvilke faktorer som brukes. FBs endimensjonale visualisering av risiko er tilstrekkelig, men
kommuniserer heller ikke usikkerhet.
Det er avgjørende i begge tilnærminger at resultatet dokumenteres og kommuniseres i en skriftlig
rapport som gir et grunnlag for beslutninger. I begge tilnærmingene må usikkerheten knyttet til
vurderingene klart kommuniseres. Dette er et forbedringspunkt. I tillegg kan FB vurdere om det
bør utføres en følsomhetsanalyse. Videre anbefales FB å vurdere om tilnærmingene kan styrkes
ved å benytte sløyfeanalyse og sløyfediagram (bow-tie) for å få frem spredningen i mulige
årsaker som kan gi en uønsket hendelse, og spredningen i mulige konsekvenser. Her kan det også
være nyttig å bruke hendelsestre- og feiltreanalyse.
Tilnærmingen basert på NS 5814 har en tydeligere og mye bredere vitenskapelig forankring enn
NS 5832. En ulempe med NS 5832 er at en tilsynelatende ikke utfører en vurdering av
sannsynlighet i analysen. FFI mener at en kunnskapsbasert sannsynlighetsvurdering er nødvendig
og uunngåelig i en risikovurdering for tilsiktede uønskede handlinger, selv om dette kan være
utfordrende, og selv om man skulle velge en tilnærming basert på NS 5832.
Det er ingen omforent beste fremgangsmåte internasjonalt eller nasjonalt for risikovurderinger for
tilsiktede uønskede handlinger. Vitenskapelige artikler og intervjuer støtter opp om denne
konklusjonen. Selv om det ikke eksisterer en beste fremgangsmåte, går følgende kjennetegn igjen
i en god tilnærming: den (i) er strukturert, (ii) har en arbeidsgruppe med bred kompetanse, (iii)
kartlegger kunnskapsstyrken, (iv) er basert på systemforståelse og er konkret, (v) har et helhetlig
perspektiv, (vi) kommuniserer risiko og usikkerhet samt (vii) er gjennomsiktig, sporbar og
etterprøvbar.
Om publikasjonen
Rapportnummer
2015/00923
ISBN
9788246425412
Format
PDF-dokument
Størrelse
2 MB
Språk
Norsk