La oss diskutere risikoanalyse uten hersketeknikk

TILSVAR: Difis påstander blir dessverre litt for enkle. Det bidrar ikke konstruktivt til en viktig debatt.

La oss diskutere risikoanalyse uten hersketeknikk
Verken Difi eller andre tvinges til å bruke prinsippene for risikoanalyse som er skissert i den nye standardserien. På tide å løfte blikket, mener Joakim Eike Barane. Bilde: PantherMedia/Sergey Nivens

Joakim Eike Barane er seksjonsleder security i Falck Nutec og medlem av arbeidsgruppen for NS 5832:2014.
Lillian Røstad i Difi (Direktoratet for forvaltning og IKT) tar i et innlegg på digi.no 25. juni i år opp temaet risikoanalyser innen sikring, med fokus på informasjonssikkerhet.

Les kommentar: Risikovurdering uten sannsynlighet gir ingen mening

I sin kommentar hevder hun at metodikken i den nye norske standarden NS 5832:2014, der sannsynlighet ikke brukes som et eksplisitt parameter, kan forklares med mangel på forståelse for dette begrepet. Hun viser til FFIs rapport «Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger» og presenterer løsrevne sitater fra en relativt frittalende professor Terje Aven, en av mange fagpersoner som er intervjuet i rapporten.

Hans syn er imidlertid ikke representativt for konklusjonene i rapporten, som jeg for øvrig anbefaler alle å lese. Hvis det er noe FFIs rapport (pdf) har vist, så er det ganske riktig mangel på kommunikasjon og forståelse mellom ulike miljøer. Slik mangel på forståelse ligger imidlertid hos flere enn de Røstad peker på i sitt innlegg.

Sunn debatt

Røstad har rett i at man ikke kan unngå å vurdere sannsynlighet. FFIs rapport slår helt korrekt fast at man også vurderer sannsynlighet i metodikken som skisseres i NS 5832. Man vurderer sannsynlige trusselaktører, sannsynlige handlemåter og sannsynlighet for at man skal klare å motstå et angrep. Metodikken i NS 5832 ønsker imidlertid å unngå bruk av en såkalt Boston Square-matrise, der den ene aksen skal angi sannsynligheten for et (vellykket) angrep.

Dette er en diskusjon som sikkert vil pågå lenge, og det er sunt og utviklende for sikringsfaget. Jeg velger å sitere Zappa fremfor Aven: «without deviation from the norm, progress is not possible».

Hersketeknikk

NS 5830-serien baserer seg på kriminologisk teori like mye som tradisjonell risikoteori, og ivaretar den som er særegent for sikring, eller uønskede tilsiktede handlinger. Den har skapt debatt og møtt motstand i enkelte miljøer, og blitt møtt med etterlengtet jubel i andre. De nye standardene hadde en bredt sammensatt referansegruppe og en offentlig høring. Innsigelsene var overraskende få.

En rekke myndighetsorganer, herunder Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM), har frontet de nye standardene. Mange virksomheter har allerede brukt høringsutkastene som styrende dokumenter i flere år, også virksomheter med tunge informasjonssikkerhetsmiljøer. Å hevde at alle disse «mangler forståelse for» kunnskapsbasert sannsynlighet og derfor har «funnet opp egne begreper», blir litt for enkelt.

Det bidrar ikke konstruktivt i debatten og er en type hersketeknikk som en stor, statlig aktør som Difi burde holde seg for gode for.

Ingen tvang

Begrepet «sikringsrisikoanalyse» ble lansert i sluttfasen av arbeidet med standarden fordi enkelte aktører, herunder Difi, hevdet at det ikke var plass til to eller flere alternativer til metodikk innenfor de eksisterende begrepene «risikoanalyse» og «risikovurdering». Dette er i seg selv ganske absurd, og Røstad kjenner denne historien godt. Det er for øvrig ingen som tvinger verken Difi eller andre til å bruke prinsippene for risikoanalyse som er skissert i standardserien.

Difi er opptatt av helheten. Jeg er enig i at en overordnet fremstilling av alle typer risiko er helt nødvendig for en helhetlig risikostyring. Slik strategisk risikostyring er imidlertid også bare en bit av virkeligheten. Det er langt fra alle analyser som skal settes inni et større strategisk bilde, men for eksempel kun identifisere konkrete sikringstiltak i et større eller mindre prosjekt. Det er heller ikke bare Difi som gjør risikoanalyser der man inkluderer både tilsiktede og utilsiktede hendelser.

En god analytiker kan bruke flere tilnærminger og elementer fra forskjellig metodikk for gjøre en best mulig analyse.

Det kan være kontraproduktivt å fokusere så mye på at resultatet skal presenteres på en spesiell måte, at man legger begrensninger på analytikerens muligheter til å velge best egnet metode.

Et solsystem, flere planeter

Røstad sier at sikring ikke skal være sin egen planet med sin unike virkelighet, men jeg er bare delvis enig med henne. Forskjellige fagområder, eller planeter om du vil, må få lov til å ha sine egne «økosystemer», sine egne teoretiske forankringer og sine egne metoder som er best tilpasset dem og deres behov. Bare slik kan fagområder utvikles og kompetanse optimaliseres. Det er imidlertid tvingende nødvendig at alle planetene kan fungere sammen i et solsystem, og dette solsystemet må ha rammer som gjør at alle planetene kan bidra på sin unike måte til helheten.

Det er en god start hvis vi alle løfter blikket og ser litt utenfor vår egen boble.