Albrechtsen (2003) påpeker i sin tekst «Security vs. Safety» at det i det norske språket ikke er et skille mellom de to begrepene, og at sikkerhet brukes for dem begge. I de senere år har en i noen sammenhenger begynt å referere til safety som sikkerhet, og security som sikring. Rausand og Utne (2009) skriver at en bruker begrepene for å skille mellom to forskjellige aspekter ved sikkerhet, og at begrepet total sikkerhet brukes som et samlebegrep for disse i noen sammenhenger. Stålesen (2011) poengterer at flere teoretikere er enige om at en tydelig forklaring og definisjon av begrepene er viktig for å unngå misforståelser.
Begrepene safety og security kan ha varierende betydning avhengig av kontekst og fagmiljø. I denne oppgaven vil begrepsfestningene være hentet fra teksten «Cross fertilization between safety and security engineering» (Piètre-Cambacédès & Bouissou, 2013). I denne teksten er security relatert til risikoer som stammer fra eller forverres av onde hensikter. Safety er relatert til utilsiktede hendelser, altså risikoer som skjer uten onde hensikter, men med potensielle virkninger for systemet eller miljøet der hendelsen skjer. Grunnideen innenfor både safety og security er å beskytte verdier fra farer/trusler og å lage sikre forhold/omstendigheter. En del av security vil også være beskyttelse mot kriminelle aktiviteter (Albrechtsen, 2003).
Kriminelle handlinger er i hovedsak bevisste handlinger, men de trenger ikke være det. Dersom en kjører noen km/h over fartsgrensen er det i seg selv en kriminell handling, men det kan skje ubevisst ved at man ikke er oppmerksom på fartsgrensen (ibid). Slike situasjoner kan skape et mer uklart skille mellom safety og security dersom en tar definisjonene lagt til grunn i betraktning: å bryte
19 fartsgrensen ubevisst er ikke en intendert handling, men vil allikevel være en kriminell handling.
Det kan derfor være vanskelig å distinkt skille mellom safetyrisikoer og securitytrusler. Albrechtsen (2003:2) påpeker i forhold til dette at security ikke bare er beskyttelse mot intenderte hendelser, men også beskyttelse mot utilsiktede hendelser, som kan føre en inn i en tilstand av ikke å bli utsatt for trusler.
Begrepene, eller konseptene, vil ha forskjellige implikasjoner for hvordan en risikovurdering bør gjennomføres; blant annet vil de ha forskjellig proaktiv tilnærming (Aven, 2006). I vurderinger av safety, eller risikoanalyser, blir risiko fanget opp og analysert ved å studere konsekvenser og sannsynligheter eller frekvenser. I vurderinger av security, eller trusselvurderinger, blir trusler fanget opp og analysert ved å studere konsekvenser, sårbarhet og måls attraktivitet (Holtrop &
Kretz, 2008).
Safetyrisikoer er relativt stabile over tid, og tilbakemelding fra analytikere om tidligere ulykker er derfor pålitelige. Trusler innenfor security er mindre forutsigbare, og avhenger av mange faktorer (eksempelvis ferdigheter, motivasjon og kapasitet), som gjør det vanskeligere å vurdere og kvantifisere mulige scenarioer (Kriaa m.fl., 2015). Kriaa m.fl. (ibid) trekker frem at bruken av kvantitative tilnærminger til sannsynligheter er utbredt innenfor safetyfeltet, mens disse tilnærmingene ikke alltid er akseptert innen securityfeltet.
Sannsynlighetsbaserte tilnærminger innenfor security reiser både spørsmål og uenigheter (Piètre-Cambacédès & Bouissou, 2013). Et fundamentalt spørsmål som ikke er besvart, er direkte koblet til vanskeligheter med å karakterisere enkelte trusler. Noen trusler vil, i det minste til en viss grad, være utenfor rekkevidde for objektive analyser. Flere analytikere vurderer at bruken av
sannsynligheter, som et sterkt verktøy for å karakterisere usikkerhet, kan være passende. Andre analytikere mener derimot at ondskap unndrar probabilistisk modellering, eller i det minste gjør det veldig vanskelig å bruke (ibid).
2.2.1 Risiko i en securitykontekst
En grunnleggende likhet mellom begrepene (eller konseptene) er at begrepet om risiko benyttes for å vurdere og styre begge disse (Piètre-Cambacédès & Bouissou, 2013). Det vil allikevel være forskjeller i hvordan konseptene styres/vurderes. Forskere og praktikere har diskutert hvorvidt securitytrusler kan uttrykkes ved tradisjonelle risikoanalysemetodikker, eller om det er nødvendig å utvikle nye analytiske verktøy som kan fange opp karakteristikkene knyttet til beskyttelse mot intenderte hendelser. Et kritisk element ved disse diskusjonene er å definere hva risiko betyr i en
20 securitykontekst, og avgjøre hvorvidt det er mulig å uttrykke securitytrusler ved bruk av
sannsynlighet/frekvens (Jore & Egeli, 2015:808).
Fokuset i risikodefinisjoner vil ofte være for eksempel systemsvikt, menneskelige feil, dårlig
kommunikasjon, eller irrasjonalitet (Borodzicz, 2006). Security skiller seg fra dette ved at målet er å beskytte systemer, organisasjoner og samfunn fra dem som har en intensjon om å påføre skade (ibid). Reniers & Audenaert (2014) påpeker at en safetyrisiko er definert som et mål på menneskelig skade, miljømessig ødeleggelse og økonomisk tap i form av både sannsynligheten for hendelsen og omfanget av tap/skade. Innenfor security vil derimot risiko defineres som en trussel, hvor trusselen er innholdet av sikkerhetsrelatert risiko med høy grad av usikkerhet (ibid).
2.2.2 Security Management
Som nevnt vil flere teoretikere se risiko i en securitykontekst som sammensatt av måls attraktivitet, sårbarhet og konsekvenser. Willis and Rand Corporation (2005) argumenterer også for dette, og påpeker at gjennom å definere disse kommer en frem til estimater, for eksempel for et terrorangrep.
Vellani (2006) argumenterer for trusselvurderinger basert på historiske data, og skriver at «den beste indikasjon på fremtiden er fortiden». Forfatteren presenterer følgende formel for å definere trusler:
Threat = Intent + Capability + Motivation
Piètre-Cambacédès & Bouissou (2013) problematiserer metodene som til nå er presentert. I følge dem er trusselkilder som skal vurderes ikke velkjente, og trusselkategorier kan defineres, men truslene kan spenne over mange forskjellige kategorier og scenarioer. Innen security kan trusselen også ha intelligens. Dette vil gi mulighet for å tilpasse seg, for eksempel etter sårbarhetene i systemet som vurderes, eller mottiltak og defensive responser. Securitytrusler vil dermed være vanskelige å karakterisere kvantitativt; kvalitative metoder, som kombinerer en preskriptiv tilnærming med ekspertkunnskap er ofte foretrukket (ibid). Aven (2013 [2]) poengterer at
hendelsene også vil være preget av lite gjentakelse. Det vil derfor være lite empirisk data, og ved hvert tilfelle vil trusselaktøren forsøke å gjøre noe nytt med det formål å skremme og overraske.
Trusselen vil dermed være preget av stor grad av uforutsigbarhet.
De siste årene har den såkalte trefaktormodellen fått stor oppmerksomhet i Norge. Manglende eller utilstrekkelig beskyttelse innebærer sårbarheter som kan eksponere verdier eller annet som ønskes sikret (jf. Security som «sikring») (Bremer-Mærli, 2012). Eiere av verdiene står ovenfor risiko for verditap, eller direkte og indirekte skade. Denne risikoen kan uttrykkes som forholdet mellom trusselen mot en gitt verdi, og verdiens sårbarhet overfor trusselen (ibid).
21 Risikoen oppstår altså i samspillet mellom verdier, trusler og sårbarheter; fjernes verdien, fjernes også risikoen. Dersom det ikke finnes en trussel, kan sårbarheten godt være stor uten at det påvirker risikoen (ibid). Tilsvarende vil verdiene være sikret dersom det teoretisk sett ikke finnes sårbarheter.
Modellen vil med andre ord stemme overens med flere av de teoretiske bidragene som er blitt presentert.
Figur 1: Trefaktormodellen (Bremer-Mærli, 2012)
Busmundrud m.fl. (2015) kritiserer trefaktormodellen for å være vanskelig å kommunisere på en like lettfattelig måte som en sannsynlighet- og konsekvenstilnærming. Det påpekes at
trefaktormodellen kan være egnet til å kommunisere hvilke faktorer som inngår i vurderinger, men at den er uegnet til å kommunisere resultatet, noe som er avgjørende for å danne
beslutningsgrunnlag (ibid).