Intervju med Sissel Haugdal Jore Navn: Sissel Haugdal Jore

Bakgrunn: Førsteamanuensis og leder av SEROS -Center For Risk Management and Societal Safety, Universitetet i Stavanger (UiS)

Tid og sted: 4. november 2014, telefonintervju

Debatten på security-området har i Norge intensivert etter 22. juli og In Amenas angrepet. I dag er det flere diskusjoner som pågår innen fagfeltet; (i) hva risiko betyr i en security-kontekst, (ii) hvilken risikoanlysemetode man burde bruke, (iii) i hvilken grad en kan bruke

samme fremgangsmåte på safety og security-fagfeltet, (iv) hvordan en skal forstå og bruke begrepet sannsynlighet, (v) hvordan en skal ta høyde for usikkerhet, og (vi) hvordan kommunisere usikkerhet til beslutningstakere.

Safety vs. Security

I Norge i dag er det en tendens til at det er et skille i security-debatten mellom aktører som kun jobber innen security-fagfeltet, og de som også jobber med safety-området. Norsk Standard, PST, NSM og POD har laget standardene og veiledere som bedrifter må forholde seg til, og det kan synes som at de som jobber både innen fagfeltet safety og security er mer kritisk til

trefaktormodellen enn de som kun jobber med security. Aktørene innen sikringsmiljøet (security) er ofte fraværende på arenaer i akademia. Jeg skulle ønsket at vi hadde en dialog mellom ulike fagmiljøer. Jeg tror at vi ikke er så uenig som mange innen security-fagfeltet tror vi er. Istedenfor å se på debatten om NS 583X-serien vs. NS 5814 som motpoler hadde vi kommet mye lengre ved å samarbeide og lære av hverandres fagfelt.

“Best practices” og suksesskriterier

Internasjonalt finnes det ikke en rådende ”best practice” i metodologien på security-området. Det å sikre seg mot ondsinnede villede handlinger er vanskelige problemstillinger, det er ikke noen som har funnet svaret. I USA har dette temaet vært en del av den akademiske debatten lenger sammenlignet med Norge og resten av Europa.

Utfordringen er at risikoanalysefaget ikke er enkelt. Ledere/brukere/beslutningstakere må ta dette innover seg. Hvis ledere skal ta gode beslutninger så må de forstå usikkerheten og datagrunnlaget som analysen er bygget på. En enkel modell eller et tall er mangelfull. Derfor må ledere sette seg inn i analysene. Dette er spesielt viktig i security- fagfeltet ettersom en ofte mangler relevante data. Et annet aspekt ved den norske diskusjonen rundt security-risikoanalyser er at man i dag tillegger risikoanalysemetoden stor vekt. Det som skjer i etterkant av analyseprosessen, for eksempel hvordan risikoanalysene blir brukt for å fatte beslutninger, er like viktig. Et helhetlig perspektiv er nødvendig. Risikoanalysen må forståes som en del av en risikostyrings- og beslutningsprosess.

Uansett hva slags tilnærming en velger så har man noen generelle suksesskriterier det er viktig å huske på i risikoanalyseprosessen (i) bred ekspertise, målet er å fange opp mest mulig

synspunkter, (ii) ha fruktbare diskusjoner, (iii) at bedriften selv skal ha eierskap til prosessen og resultatene i ettertid, (iv) analysene må oppdateres, de skal ikke lages og deretter bli lagt i en skuff, (v) beslutninger må tas på grunnlag av analysen. Ofte er disse momentene undervurdert i risikostyringsprosessen innen security-fagfeltet.

Som nevnt tidligere er det er viktig å innhente forskjellige type kompetanse når en skal

gjennomføre en risikoanalyse innenfor security. Det er viktig å kartlegge bakgrunnskunnskapen til personene som skal utføre analysen. Kompetansekravet bør være at man har personer som må kunne noe om security/trusselbildet, og om selve bedriften (sårbarhetene). Dette er viktig for å få til en god analyse.

FFI-rapport 2015/00923 97 NS 583X-serien og NS 5814

Det vitenskapelige grunnlaget for trefaktormodellen er mangelfullt, og denne tilnærmingene har ikke tatt innover seg forskningen innen risikoanalysefaget de siste årene.

Det er vanskelig å tenke seg at “one model fits all” innen security-fagfeltet. Man har ikke bare én metode innen safety-faget heller, ettersom det kommer an på hva man skal analysere og hva slags datagrunnlag man har osv. I så måte vil jeg si at det er ikke er mulig å ha “one model fits all”. En må bruke ulike modeller og metoder i ulike sammenhenger, og en del av safety-risikoanalysene kan også brukes på security.

Jeg mener at en må tilpasse tilnærmingene/metodene til hva en analyserer, folk må reflektere over hva en risikoanalyse er og hva den skal brukes til, man trenger mer diskusjon og dialog mellom de ulike miljøene. Veldig mange henger fast i en naturvitenskapelig tankegang som vi i

risikoanalysefaget har forlatt. Innen security-feltet har en begrenset med data og man kan ikke si noe som er 100% sannsynlighet om fremtiden. Jeg tror det er derfor vi misforstår hverandre. Jeg snakker ikke om matematisk eller statistisk sannsynlighet, jeg snakker om subjektive

sannsynligheter. Risiko er en vurdering av fremtiden, ikke et objektivt fakta. Man kan gjøre risikoanalyser selv om man har et begrenset datagrunnlag. Dette blir gjort i dag, f.eks i forhold til storulykker offshore.

NS 5814

Det positive med NS 5814 er at den er (i) enkel å forstå og (ii) den kommuniserer klart

prioriteringer som gjør det enklere for lederen å ta beslutninger. Negative trekk ved NS 5814 er at det er en forenkling av virkeligheten. Den “tvinger” folk til å sette risikoen i ulike kategorier og den utrykker heller ikke usikkerhetsmomentet. I tillegg kan en uønsket hendelse ha flere ulike konsekvenser, og i risikomatrisen blir man tvunget til å velge en konsekvens. Det blir dermed forenklet. Siden sannsynlighet er en viktig dimensjon i risikomatrisen, kan man komme til å nedprioritere security-risikoer i forhold til andre risikoer.

NS 583X-serien

De nye standardene har ikke tatt innover seg eksisterende kunnskap fra akademia. UiS har ikke en avklart holdning utad om NS 5830 vs. NS 5814. Personlig er jeg skeptisk til at noen av

standardene i NS 583X-serien avviker fra ISO 31000 både i forhold til risikoterminologien og risikoanalysen som en del av den helhetlige virksomhetsstyringen.

NS 5830 bygger på det etablerte synet myndighetene har hatt i noen år. Den fanger opp viktige dimensjoner når en skal gjennomføre risikoanalyser. Positive trekk med trefaktormodellen er at den (i) får bedrifter til å prioritere hva det er de vil beskytte, (ii) fanger opp at verdien er sårbar overfor en strategisk trusselaktør. Dette er gode kvalitative dimensjoner som det er nyttig at bedrifter tar innover seg i sine risikoanalyser. Trefaktormodellen er i seg selv er ikke

‘revolusjonerende’; det er de samme stegene, med ulike begrep som overlapper med NS 5814.

Jeg savner en debatt om det vitenskapelige grunnlaget NS 583X-serien bygger på, og om hvor vidt de som benytter seg av denne metodikken mener den er mer hensiktsmessig.

Noen svakheter ved trefaktormodellen er:

(i) manglende begrepsdybde, hva er det egentlig som ligger i begrepene? Dette må komme tydelig frem i utfyllende kvalitative beskrivelser for å fange opp hva en verdi er og hvordan den er koblet til trusselaktøren og sårbarhet. Beskrivelse av hvilken intensjon og kapasitet en angriper har overfor en verdi er nødvendig for å fange opp sårbarheten.

(ii) tilnærmingen sier ingenting om usikkerhet. Det finnes mange typer usikkerhet; usikkerhet om faktagrunnlag og kunnskap eller om hvordan trusselbildet utvikler seg osv. Når en bare viser til en “trekant”, så kommer ikke usikkerhetsdimensjonen frem.

(iii) hensikten ved trefaktormodellen er at den skal bli brukt i beslutningssammenheng, men modellen sier ingenting om prioritering. En kan bruke sannsynlighet med tall, eller kategorier som “lav, middels og høy” for å gradere risikoen. Hele poenget er at risikoanalysen skal gi beslutningsstøtte slik at man kan prioritere de mest hensiktsmessige tiltakene. I trefaktormodellen er det ingen sannsynlighetsgradering og det blir vanskeligere for beslutningstakere å prioritere hva en skal beskytte osv.

Usikkerhet

Det finnes mange typer usikkerhet for eksempel statistisk usikkerhet. Innen security så blir usikkerhet tolket annerledes ettersom man ikke har et godt nok tallmateriale. Vi må håndtere usikkerhet rundt (i) datagrunnlaget (er det representativt?) (ii) vi skal si noe om fremtiden og usikkerhet rundt vurderingen av hva man tror skal skje (iii) hvor bredt skal vi ta analysene/hva er relevante scenarioer?

Sårbarhetsvurdering vs. risikovurdering

Sårbarhetsbegrepet dekker det som skjer når en krise inntreffer, og hva som skjer etterpå i form av konsekvenser (hvor hardt en verdi blir rammet). Risikoanalyser ser på hele risikoen; altså sannsynlighet for at noe skal skje og konsekvensen. Her bruker en verktøy som grovanalyse, HAZOP, feiltreanalyse osv. Når en snakker med folk som kun jobber innen security-fagfeltet, kan man få inntrykk av noen tror at risikoanalyser er det samme som risikomatrisen - det er det ikke!

C.3 Intervju med Willy Røed