Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger
Abstract
FFI har på oppdrag for Forsvarsbygg (FB) vurdert forskjellige tilnærminger til risikovurderinger
for sikring mot tilsiktede uønskede handlinger (security), med spesiell vekt på FBs to
tilnærminger. Den ene tilnærmingen er basert på Norsk Standard 5814:2008 der risiko defineres
som et “uttrykk for kombinasjonen av sannsynligheten for og konsekvensen av en uønsket
hendelse”. Den andre er basert på den nye standarden NS 5832: 2014 der sikringsrisiko er
definert som et “uttrykk for forholdet mellom trusselen mot en gitt verdi og denne verdiens
sårbarhet overfor den spesifiserte trusselen” (ofte kalt trefaktormodellen), og en vurdering av
sannsynligheten for at et scenario kan inntreffe er med hensikt utelatt.
FBs to tilnærminger har mange likhetstrekk. Forskjellen er at i tilnærmingen basert på NS 5814
foretas en separat vurdering av muligheten for at et angrep finner sted og er vellykket, og denne
vurderingen er basert på en kunnskapsbasert sannsynlighetsvurdering. Videre ligger forskjellene i
hvordan risiko kommuniseres, og her har begge modellene svakheter. Fordelen med
risikomatrisen er at den er enkel å forstå. Faren er at den kan overforenkle og gi inntrykk av større
sikkerhet enn det er grunnlag for. Den kommuniserer ikke usikkerhet. Trekanten eller de tre
sirklene som er koblet sammen for å kommunisere resultatene fra trefaktormodellen, illustrerer
bare hvilke faktorer som brukes. FBs endimensjonale visualisering av risiko er tilstrekkelig, men
kommuniserer heller ikke usikkerhet.
Det er avgjørende i begge tilnærminger at resultatet dokumenteres og kommuniseres i en skriftlig
rapport som gir et grunnlag for beslutninger. I begge tilnærmingene må usikkerheten knyttet til
vurderingene klart kommuniseres. Dette er et forbedringspunkt. I tillegg kan FB vurdere om det
bør utføres en følsomhetsanalyse. Videre anbefales FB å vurdere om tilnærmingene kan styrkes
ved å benytte sløyfeanalyse og sløyfediagram (bow-tie) for å få frem spredningen i mulige
årsaker som kan gi en uønsket hendelse, og spredningen i mulige konsekvenser. Her kan det også
være nyttig å bruke hendelsestre- og feiltreanalyse.
Tilnærmingen basert på NS 5814 har en tydeligere og mye bredere vitenskapelig forankring enn
NS 5832. En ulempe med NS 5832 er at en tilsynelatende ikke utfører en vurdering av
sannsynlighet i analysen. FFI mener at en kunnskapsbasert sannsynlighetsvurdering er nødvendig
og uunngåelig i en risikovurdering for tilsiktede uønskede handlinger, selv om dette kan være
utfordrende, og selv om man skulle velge en tilnærming basert på NS 5832.
Det er ingen omforent beste fremgangsmåte internasjonalt eller nasjonalt for risikovurderinger for
tilsiktede uønskede handlinger. Vitenskapelige artikler og intervjuer støtter opp om denne
konklusjonen. Selv om det ikke eksisterer en beste fremgangsmåte, går følgende kjennetegn igjen
i en god tilnærming: den (i) er strukturert, (ii) har en arbeidsgruppe med bred kompetanse, (iii)
kartlegger kunnskapsstyrken, (iv) er basert på systemforståelse og er konkret, (v) har et helhetlig
perspektiv, (vi) kommuniserer risiko og usikkerhet samt (vii) er gjennomsiktig, sporbar og
etterprøvbar. The Norwegian Defence Research Establishment (FFI) has assessed different approaches to
security risk assessments for protection against intentional unwanted actions (security). The work
was funded by the Norwegian Defence Estates Agency (FB). The objective was to compare FBs
operationalization of two approaches. One approach is based on the Norwegian Standard (NS)
5814: 2008, in which risk is defined as an “expression for the combination of likelihood and
consequences of an unwanted event”. The second approach is based on the new standard NS
5832: 2014, where security risk is defined as “the relationship between threats towards a given
asset and this asset’s vulnerability to the specified threat”. This approach is often called the threefactor
model, and the assessment of the likelihood of a scenario is intentionally omitted.
FBs operationalization of the two approaches has many similarities, but also differences. The
operationalization of NS 5814 has a separate assessment of the possibility of an attack, and to
what extent the attack is successful, based on a knowledge-based likelihood assessment. Another
difference is how risk is visualized and communicated to decision makers. In this case both
approaches have weaknesses. A classic Boston Square risk matrix is easy to understand, but can
simplify and give the impression of greater accuracy than is justified. The triangle, or the three
circles of the three-factor model, illustrates only which factors that are used. It can be argued that
FBs one-dimensional visualization of risk in this approach is sufficient, but does not
communicate uncertainty.
It is essential in both approaches that the results must be documented and communicated in a
report that provides the basis for decision making. In both approaches the uncertainty of the
assessments must be clearly communicated. Here, improvements are suggested. FB should
consider including sensitivity analyses. FB could also explore whether bow-tie analysis and bowtie
diagrams can be used to convey the variety of possible causes and consequences of a given
undesirable event. Here, it may also be useful to use Event Tree Analysis and Fault Tree
Analysis.
The NS 5814 approach has a clearer and broader scientific basis than NS 5832. A disadvantage of
NS 5832 is that it apparently does not include an assessment of likelihood. FFI argues that a
knowledge-based likelihood assessment is necessary and inevitable in a security risk assessment
for intentional unwanted actions, even if this is challenging, and even when choosing an approach
based on NS 5832.
There is no agreed best practice, internationally or nationally, for security risk assessment.
Scientific articles and interviews support this conclusion. Although no best practice has been
identified, the following characteristics may enhance and strengthen security risk assessments:
One should (i) have a structured process, (ii) establish a working group with broad expertise, (iii)
map the knowledge strength among the experts in the working group, (iv) base the assessment on
knowledge of the system and be concrete, (v) have a holistic perspective, (vi) communicate risks
and uncertainties, and (vii) be transparent, traceable and verifiable.