9 Rammeverk for gjennomføring av risiko og sårbarhetsanalyser av samfunnskritisk infrastruktur
Terje Aven, Hermann Steen Wiencke. SEROS Senter for risikostyring og samfunnssikkerhet
9.1 Innledning
I mandatet til Utvalg for sikring av kritisk infrastruktur står det at utvalget skal vurdere hvordan hensynet til rikets sikkerhet og vitale nasjonale interesser på best mulig måte kan ivaretaes ovenfor virksomheter som ikke er offentlige. Eksempler på områder som utvalget skal vurdere er, kraftsektoren, telesektoren, vannforsyning m.m. Utvalgets arbeid skal omfatte alle typer installasjoner og systemer som er nødvendig for at samfunnet skal fungere tilnærmet normalt.
Dette innebærer bla. at utvalget skal kartlegge de virkemidler som brukes for å sikre rikets sikkerhet og vitale nasjonale interesser når offentlige virksomheter privatiseres, og utvalget skal kartlegge virksomheter som antas å ha betydning for rikets sikkerhet og vitale nasjonale interesser.
Privatisering av samfunnskritisk infrastruktur, globalisering av økonomien, raske teknologiske endringer og nye organisasjonsformer gjør samfunnet generelt mer sårbart i forhold til trusler som kan påvirke stabilitet og opprettholdelse av viktige samfunnsfunksjoner. Dermed vil endringer i trusselbildet, for eksempel i forhold til terrorisme, organisert kriminalitet, naturskapte hendelser osv. skape stor usikkerhet omkring samfunnets evne til å fungere i ulike situasjoner.
Hvordan kan vi styre en slik utvikling, hvordan kan vi styre samfunnssikkerheten og den risiko viktige funksjoner i samfunnet utsettes for?
Lover, regler og internasjonale standarder er virkemidler som myndigheter og det internasjonale samfunn bruker i dette arbeidet. SEVESO direktivet, BASEL II, og Petroleumstilsynets nye regelverk er eksempler på regelverk som er tiltenkt å virke mot en del av det trusselbildet samfunnet står ovenfor.
I forhold til truslene mot samfunnskritisk infrastruktur er det per i dag ikke et helhetlig lovverk som ivaretar samfunnets interesser. Med helhetlig lovverk mener vi her et lovverk som både omfatter offentlige og private virksomheter og som omhandler helheten i det trusselbildet samfunnet står ovenfor, dvs både villede hendelser, ulykker og naturskapte hendelser. I dag har vi bla sikkerhetsloven men den gjelder bare offentlige virksomheter og er bare fokusert mot deler av det trusselbildet som et slikt lovverk bør ivareta.
Et nytt helhetlig lovverk ønskes etablert, der det stilles krav til at alle virksomheter som har ansvaret for samfunnskritisk infrastruktur, har kontroll på sin virksomhet, de sårbarheten den har og den risiko dette utgjør for samfunnet. Et slikt lovverk vil omfatte enkeltvirksomheter, men vil også stille krav til at det gjøres mer overordnede vurderinger på tvers av enkeltvirksomheter og sektorer. Slike vurderinger vil spesielt se på avhengigheter imellom ulike systemer, og omfatte risiko i forhold til alle typer trusler, dvs villede handlinger, ulykker og naturskapte hendelser.
I utredningen av et slikt lovverk må også et hensiktsmessig tilsynsapparat etableres. Sentralt her står spørsmålet om styrket samordning av tilsynsvirksomheten.
Et slikt lovverk må bygge på en del grunnleggende prinsipper. Det er ikke opplagt hvordan man skal »styre» samfunnssikkerheten og den risiko viktige funksjoner i samfunnet utsettes for. I dette notatet gis et innspill i arbeidet med å etablere slike prinsipper. Vi gjør dette ved å foreslå et rammeverk og et teoretisk fundament for hvordan den enkelte virksomhet (bedrift, kommune, fylkeskommune, sektor, nasjon) skal kunne kartlegge og overvåke det gjeldende trussel- og risikobildet, og dermed få et styrket underlag for å kunne håndtere sårbarhetene og risikoforholdene i virksomheten. Innspillet er i stor grad basert på det arbeidet som SEROS har utført i BAS 5 prosjektet.
9.2 Bruk av Risiko- og Sårbarhetsanalyser i samfunnet
Utgangspunktet for bruken av rammeverket vil være ulike situasjoner og behov. Vi har i dette notatet gjort en inndeling av ulike nivåer der ROS-analyser bør gjennomføres. Hensikten med en slik gruppering er å synliggjøre ulike situasjoner og behov. Følgende inndeling er foreslått:
Enkeltvirksomheter
Fylke/kommune
Nasjon
Enkeltvirksomheter:
En virksomhet, for eksempel et vannverk, vil ønske å kartlegge hendelser/forhold som kan gjøre at leveranser av vann til samfunnet forsvinner. Virksomheten må da gjøre en analyse av sine aktiviteter der den kartlegger avhengigheten av ulike underliggende årsaksfaktorer. Slike faktorer kan være strøm, IKT-systemer, kompetanse, prosessanlegget, vannkvalitet i reservoar, nedbørsmengde etc. Deretter må en identifisere hva som kan gi bortfall av disse faktorene, for eksempel villlede handlinger, naturskapte hendelser eller ulykker.
Risiko- og sårbarhetsanalysene må inngå i en kontinuerlig risikostyringsprosess. For virksomheter vil beslutninger, for eksempel knyttet til bruk av ny teknologi, bytte av underleverandør eller omorganisering av virksomheten, kunne påvirke sårbarheten av systemene i forhold til ulike hendelser, og det er derfor viktig for virksomheten at analysene inngår som en integrert del av styringsprosessene.
Et vannverk er åpenbart viktig for samfunnet og kommer inn i den kategorien selskaper som må gjøre slike analyser. For andre virksomheter eller offentlige etater kan det være vanskeligere å se sin egen betydning for samfunnet, for eksempel en underleverandør til vannverket. Retningslinjer knyttet til hvem som er viktige for å ivareta samfunnskritiske funksjoner må utformes slik at det blir tydelig hvem som kommer inn under lovverket. Det må også være en del av den enkelte samfunnskritiske virksomhets ansvar å stille krav til sine underleverandører som sikrer egne leveranser.
Fylkeskommune/kommune (naturlig geografisk område)
Hver enkelt virksomhet vurderer sin egen situasjon og hva de kan gjøre for å sikre sine leveranser til samfunnet, men virksomhetene klarer ikke uten videre å se helheten i samfunnet. Det må derfor være et offentlig ansvar å gjøre ROS-analyser for samfunnet som helhet. Hva som er det mest hensiktsmessige analysenivået her, om det skal være kommuner og/eller fylkeskommuner, eller større områder, kan diskuteres. Stormer, naturfenomen, forurensning etc, følger ikke kommune eller fylkesgrenser. Analysene må derfor organiseres slik at de ser helheten på tvers av de til enhver tid rådende organisatoriske strukturer. Analysene må samordnes og organiseres i forhold til det trusselbildet som til enhver tid gjelder. Samtidig må resultatene fra analysene tolkes og omsettes i praktiske resultater innenfor de eksisterende organisatoriske rammene.
Resultatene fra analysene skal kunne brukes på et høyt nivå til å prioritere ressurser i en planlegging- og budsjetteringsfase, men også til å gi innspill til konkrete tekniske eller organisatoriske løsninger.
Norge som nasjon
I utgangspunktet så vil kartlegging og håndtering av de fleste situasjoner skje lokalt i regionene.
Det er imidlertid en del trusler som er rettet mot nasjonen som helhet. Dette vil bla være epidemier, forurensning, store naturkatastrofer, krig, terrorisme med mer. Dette må håndteres i en ROS-analyse på nasjonalt nivå. I tillegg til å vurdere trusler mot nasjonen vil det på nasjonalt nivå ligge prioriteringsoppgaver og fordeling av midler når det gjelder forebyggende arbeid. Det er også en rekke oppgaver i forhold til å stille med kompetanse og ressurser til støtte for regionene, som skjer på nasjonalt nivå. På mange områder der regionene har felles utfordringer, vil løsningen i form av beredskap og kompetanse legges på nasjonalt nivå.
9.3 Rammeverk for Risiko og Sårbarhetsanalyser - Samfunnskritisk infrastruktur
Rammeverket presentert i dette notatet omfatter alle de tre nivåene presentert ovenfor, dvs nasjon, region og virksomhet. Utfordringene er forskjellige på disse nivåene, og dette må reflekteres i rammeverket.
På nasjonalt og regionalt nivå, er utfordringen knyttet til å se helheten i et risikobildet, sikre at alle viktige elementer er med og avdekke sårbarhetene knyttet til avhengigheter mellom ulike virksomheter og aktiviteter. Vi ser for oss en felles metodikk som kan anvendes på alle regioner (kommuner/fylkeskommuner).
På virksomhetsnivå er utfordringen annerledes. Det finnes virksomheter som er veldig kritiske for samfunnet og som har betydning for hele nasjonen, og det finnes regionale virksomheter som ikke er samfunnskritiske. Med en så stor variasjon mellom ulike virksomheter, er det ikke hensiktsmessig å utarbeide en metodikk som alle virksomheter skal bruke. Spennvidden er for stor.
Rammeverket tar høyde for dette og består av følgende delelementer:
Retningslinjer for gjennomføring av nasjonale ROS-analyser og etableringen av et nasjonalt risikobilde (dette er en FoU-oppgave, inspirasjon kan hentes fra blant annet Risikonivå norsk sokkel prosjektet, Vinnem m.fl. (2006))
Retningslinjer for gjennomføring av ROS-analyser for fylker og kommuner (her gjenstår en del arbeid selv om det er gjort en del arbeid på dette området)
Retningslinjer for valg av ROS-metodikk for virksomheter. Med virksomhet menes her alle organisasjoner som leverer samfunnskritiske tjenester. Dette innbefatter private bedrifter, offentlige etater og kommuner i forhold de tjenestene disse leverer til samfunnet.
Fokuset i dette notatet vil være på virksomheter, men strukturen kan overføres også til de to andre nivåene. Rammeverket bygger på et felles teoretisk fundament og prinsipper. For de ulike nivåene er det et tilfang av ulike teorier og metoder, for eksempel knyttet til hvordan analysere risiko og ta beslutninger under usikkerhet.
Virksomhet: Retningslinjer for valg av ROS-metodikk
Utgangspunktet er virksomheter som er ansvarlig for samfunnskritisk infrastruktur eller virksomheter som er kritiske for at infrastrukturen skal fungere. Fokus i ROS-analysen vil være situasjoner karakterisert av høy risiko, dvs. det er et potensiale for store konsekvenser, betydelige usikkerheter hvorvidt slike konsekvensene vil inntreffe og/eller høye sannsynligheter for at slike hendelser vil inntreffe. Konsekvensene er knyttet til tap av viktige samfunnsfunksjoner. Vi omtaler slike situasjoner som kritiske.
Risiko- og sårbarhetsanalyser brukes i denne forbindelse for å gi underlag for beslutninger ved å
identifisere kritiske infrastrukturer
uttrykke grad av kritikalitet
beskrive effekt av tiltak
Beslutningssituasjonene kan være veldig forskjellige når det gjelder risiko og beslutningsnivå, og vil innebære ulike behov for beslutningsstøtte og beslutningsprosesser. Det foreslåtte rammeverket tar høyde for dette og presenterer et klassifiseringssystem som strukturer de forskjellige beslutningssituasjoner, slik at man velger hensiktsmessig risiko- og sårbarhetstilnærming og metoder.
Utgangspunktet for en slikt rammeverk er erkjennelsen av at det vil være vanskelig å etablere en metodikk for risiko- og sårbarhetsanalyse, som er hensiktsmessig i alle beslutningssituasjoner. Det er per i dag utviklet en rekke ulike metoder tilpasset spesifikke formål og spesifikke fagområder. Noen av dem er gode til et begrenset formål, andre er mindre gode og har klare mangler. Et rammeverk som skissert i dette notatet har til hensikt i bidra i en utvelgelsesprosess, slik at metoden som brukes er hensiktsmessig i forhold til problemstillingen.
9.4 Klassifiseringssystem for beslutningsproblem
Klassifiseringen er basert på følgende grunnleggende prinsipp:
Fastsettelse av grad av kritikalitet (dvs. risiko i betydningen gitt ovenfor) gjennomføres ved
å klarlegge
Forventede konsekvenser i forhold til aktuelle attributter, for eksempel sikkerhet for mennesker, helse, miljø, nasjonens sikkerhet, økonomi, etc.
Usikkerhetsfaktorer som kan bidra til store forskjeller mellom de faktiske konsekvenser og de forventede verdier, for eksempel sårbarheter, kompleksitet i teknologi, kompleksitet i organisasjonen, tidshorisont, etc.
å sammenholde i) og ii).
Rasjonale for dette prinsippet er at forventningsverdien er en god styringsstørrelse for virksomheter med mange aktiviteter, i og med at forventningsverdien vil kunne gi gode prediksjoner for gjennomsnittsverdier. Det er imidlertid en rekke faktorer som gjør at vi kan få store avvik mellom forventningsverdiene og de faktiske konsekvenser. Disse faktorene er i stor grad knyttet til grad av usikkerhet i de underliggende fenomener som studeres.
Vektingen i forhold til ulike attributter og sammenholdningen av i) og ii) kan skje på ulike måter, kvalitativt eller ved hjelp av ulike former for scoringssystemer. Høyt utslag på både i) og ii) gir åpenbart høyest grad av kritikalitet: Vi forventer alvorlige konsekvenser og ekstreme konsekvenser kan oppstå under visse forutsetninger. Et eksempel på faktorer som kan inngå i et slikt scoring system er vist i figur 9.2.
Ved å se på ulike eksempler vil man fort oppdage at konsekvensene vil variere sterkt for de forskjellige attributter og usikkerheten som ligger i de underliggende faktorer.
I eksempelet presentert i figur 9.2 er konsekvens og usikkerhetselementene presentert på et overordnet nivå. Utdypende evaluering kan gjøres innenfor hvert av disse hovedelementene. Dette kan være naturlig å gjøre der forventet konsekvens og/eller usikkerheten er høy.
Klassifiseringen vil gi innspill til valg av ROS metode, men er i seg selv også en overordnet risiko- og sårbarhetsanalyse, som gir grunnlag for beslutninger i forhold prioriteringer, innsatsområder etc..
Figur 9.3 illustrerer tankegangen bak framgangsmåten for å velge egnet ROS-metodikk.
Normalt vil høy grad av kritikalitet, kreve dybde og presisjon i analysen, mens ved lav kritikalitet kan man i større grad bruke koder, standarder, sjekklister etc.
Men andre forhold spiller også inn, og viktigst her er formålet med analysen. I en del sammenhenger vil grove analyser måtte gjøres for svært kritiske systemer, på grunn av begrensninger i tid. Hensikten er å gi beslutningsstøtte, og det har ingen mening å utføre analyser som gir sine konklusjoner etter at beslutningene er tatt.
Dessuten må en trekke inn i hvilke grad det aktuelle analyseobjektet er et standard system, hvor en kan trekke på etablerte sjekklister og standarder som er utarbeidet og basert på lang erfaring fra tilsvarende systemer nasjonalt/internasjonalt. For unike systemer vil en i større grad måtte kreve detaljerte ROS-analyser.
Fremgangsmåten illustrert i figur 9.3 er en del av det arbeidet som gjøres i BAS 5 prosjektet. I arbeidet inngår retningslinjer for klassifisering av system/beslutningsproblem samt er evaluering av etablerte teknikker og metoder for risiko og sårbarhetsanalyser. Fokus er her sårbarheten i IKT systemer.
9.5 Diskusjon
Hensikten med å etablere et rammeverket for ROS-analyser er å sikre en helhetlig og konsistent tenkning i det arbeidet som bør gjøres for å sikre samfunnskritisk infrastruktur. Rammeverket må favne vidt og ha en innebygd fleksibilitet som sikrer at det vil være et effektivt rammeverk i tider med store endringer.
Rammeverket inkluderer derfor alle nivåer i samfunnet, fra nasjonale utfordringer til de lokale. Det gjenstår betydelig arbeid i forhold til utviklingen av elementene i rammeverket:
Retningslinjer for gjennomføring nasjonale ROS-analyser og etableringen av et nasjonalt risikobilde.
Retningslinjer for gjennomføring av ROS-analyser for fylke/kommune.
Retningslinjer for valg av ROS-metodikk for virksomheter.
Når det gjelder det teoretiske fundamentet og prinsippene for ROS-analyse, vises det til den betydelige forskningen og utviklingen som er blitt gjennomført de senere årene, blant annet i forbindelse med flere forskningsprosjekter i regi av Norges forskningsråd (Risiko og Usikkerhet 2000-02, HMS petroleum - beslutningsstøtte 2002-06). Aktuelle temaområder er her håndtering av usikkerhet, bruk av statistiske forventningsverdier i risikostyringen, bruk av forsiktighets-prinsippet og føre-var, bruk av risikoakseptkriterier, m.m. Det vises til Aven (2003) og Aven og Vinnem (2006).
Rammeverket presentert i dette notatet må sees i større kontekst, der også lovverket og tilsynsordningene inngår. Implementeringen av et nytt regime vil være krevende, ikke minst i forhold til å utvikle kompetanse i den enkelte virksomhet. Også i forhold til forskning og utvikling vil det være behov for betydelig innsats.
Det er viktig å understreke at rammeverket bygger på en tenkning til risiko som gir rom for ulike perspektiver. Det er lagt til grunn en del felles prinsipper, men disse prinsippene understøtter en bred tilnærming, som åpner opp for vurderinger utover ekspertenes risikoanalyser. Analysene gir kun beslutningsstøtte, og det vil alltid være behov for å se analysene i en større sammenheng og trekke inn de begrensninger og svakheter som ligger i analysene. Ulike aktører kan ha ulike perspektiver og syn på de sentrale premisser for de analyser som gjøres. Det er derfor viktig å etablere et mest mulig helhetlig og bredt bilde av risiko og sårbarhet, som avspeiler mangfoldet i kunnskap og oppfatninger der dette er viktig for de beslutninger som skal tas. Prosessene for å etablere risiko- og sårbarhetsbildet og oppfølgingen av dette må være forankret i en tenkning som tar innover seg at risiko primært er en vurdering og ikke fakta. Vi viser til Vinnem m.fl. (2005) for et eksempel på en slik prosess i forbindelse med Risikonivå norsk sokkel (RNNS)-prosjektet.
Referanser
Aven, T. (2003) Foundations of Risk Analysis. Wiley, N. Y.
Aven, T. and Vinnem, J.E. (2006) Risk Management, with Applications from the Offshore Oil and Gas Industry. Springer Verlag, forthcoming.
Vinnem, J.E., Aven, T. Husebø, T., Seljelid, J., Tveit, O.J. (2006) Major hazard risk indicators for monitoring of trends in the Norwegian offshore petroleum sector. To appear inRel. Eng. System Safety.
Wiencke, H.S., Aven T. E. (2006) A framework for selection of methodology for risk and vulnerability assessments of infrastructures depending on ICT. Paper to be presented at ESREL 2006.