Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger

Abstract

FFI har på oppdrag for Forsvarsbygg (FB) vurdert forskjellige tilnærminger til risikovurderinger for sikring mot tilsiktede uønskede handlinger (security), med spesiell vekt på FBs to tilnærminger. Den ene tilnærmingen er basert på Norsk Standard 5814:2008 der risiko defineres som et “uttrykk for kombinasjonen av sannsynligheten for og konsekvensen av en uønsket hendelse”. Den andre er basert på den nye standarden NS 5832: 2014 der sikringsrisiko er definert som et “uttrykk for forholdet mellom trusselen mot en gitt verdi og denne verdiens sårbarhet overfor den spesifiserte trusselen” (ofte kalt trefaktormodellen), og en vurdering av sannsynligheten for at et scenario kan inntreffe er med hensikt utelatt. FBs to tilnærminger har mange likhetstrekk. Forskjellen er at i tilnærmingen basert på NS 5814 foretas en separat vurdering av muligheten for at et angrep finner sted og er vellykket, og denne vurderingen er basert på en kunnskapsbasert sannsynlighetsvurdering. Videre ligger forskjellene i hvordan risiko kommuniseres, og her har begge modellene svakheter. Fordelen med risikomatrisen er at den er enkel å forstå. Faren er at den kan overforenkle og gi inntrykk av større sikkerhet enn det er grunnlag for. Den kommuniserer ikke usikkerhet. Trekanten eller de tre sirklene som er koblet sammen for å kommunisere resultatene fra trefaktormodellen, illustrerer bare hvilke faktorer som brukes. FBs endimensjonale visualisering av risiko er tilstrekkelig, men kommuniserer heller ikke usikkerhet. Det er avgjørende i begge tilnærminger at resultatet dokumenteres og kommuniseres i en skriftlig rapport som gir et grunnlag for beslutninger. I begge tilnærmingene må usikkerheten knyttet til vurderingene klart kommuniseres. Dette er et forbedringspunkt. I tillegg kan FB vurdere om det bør utføres en følsomhetsanalyse. Videre anbefales FB å vurdere om tilnærmingene kan styrkes ved å benytte sløyfeanalyse og sløyfediagram (bow-tie) for å få frem spredningen i mulige årsaker som kan gi en uønsket hendelse, og spredningen i mulige konsekvenser. Her kan det også være nyttig å bruke hendelsestre- og feiltreanalyse. Tilnærmingen basert på NS 5814 har en tydeligere og mye bredere vitenskapelig forankring enn NS 5832. En ulempe med NS 5832 er at en tilsynelatende ikke utfører en vurdering av sannsynlighet i analysen. FFI mener at en kunnskapsbasert sannsynlighetsvurdering er nødvendig og uunngåelig i en risikovurdering for tilsiktede uønskede handlinger, selv om dette kan være utfordrende, og selv om man skulle velge en tilnærming basert på NS 5832. Det er ingen omforent beste fremgangsmåte internasjonalt eller nasjonalt for risikovurderinger for tilsiktede uønskede handlinger. Vitenskapelige artikler og intervjuer støtter opp om denne konklusjonen. Selv om det ikke eksisterer en beste fremgangsmåte, går følgende kjennetegn igjen i en god tilnærming: den (i) er strukturert, (ii) har en arbeidsgruppe med bred kompetanse, (iii) kartlegger kunnskapsstyrken, (iv) er basert på systemforståelse og er konkret, (v) har et helhetlig perspektiv, (vi) kommuniserer risiko og usikkerhet samt (vii) er gjennomsiktig, sporbar og etterprøvbar.

The Norwegian Defence Research Establishment (FFI) has assessed different approaches to security risk assessments for protection against intentional unwanted actions (security). The work was funded by the Norwegian Defence Estates Agency (FB). The objective was to compare FBs operationalization of two approaches. One approach is based on the Norwegian Standard (NS) 5814: 2008, in which risk is defined as an “expression for the combination of likelihood and consequences of an unwanted event”. The second approach is based on the new standard NS 5832: 2014, where security risk is defined as “the relationship between threats towards a given asset and this asset’s vulnerability to the specified threat”. This approach is often called the threefactor model, and the assessment of the likelihood of a scenario is intentionally omitted. FBs operationalization of the two approaches has many similarities, but also differences. The operationalization of NS 5814 has a separate assessment of the possibility of an attack, and to what extent the attack is successful, based on a knowledge-based likelihood assessment. Another difference is how risk is visualized and communicated to decision makers. In this case both approaches have weaknesses. A classic Boston Square risk matrix is easy to understand, but can simplify and give the impression of greater accuracy than is justified. The triangle, or the three circles of the three-factor model, illustrates only which factors that are used. It can be argued that FBs one-dimensional visualization of risk in this approach is sufficient, but does not communicate uncertainty. It is essential in both approaches that the results must be documented and communicated in a report that provides the basis for decision making. In both approaches the uncertainty of the assessments must be clearly communicated. Here, improvements are suggested. FB should consider including sensitivity analyses. FB could also explore whether bow-tie analysis and bowtie diagrams can be used to convey the variety of possible causes and consequences of a given undesirable event. Here, it may also be useful to use Event Tree Analysis and Fault Tree Analysis. The NS 5814 approach has a clearer and broader scientific basis than NS 5832. A disadvantage of NS 5832 is that it apparently does not include an assessment of likelihood. FFI argues that a knowledge-based likelihood assessment is necessary and inevitable in a security risk assessment for intentional unwanted actions, even if this is challenging, and even when choosing an approach based on NS 5832. There is no agreed best practice, internationally or nationally, for security risk assessment. Scientific articles and interviews support this conclusion. Although no best practice has been identified, the following characteristics may enhance and strengthen security risk assessments: One should (i) have a structured process, (ii) establish a working group with broad expertise, (iii) map the knowledge strength among the experts in the working group, (iv) base the assessment on knowledge of the system and be concrete, (v) have a holistic perspective, (vi) communicate risks and uncertainties, and (vii) be transparent, traceable and verifiable.