Et rasjonelt valg – om trefaktortilnærmingen til sikringsrisiko
Skrevet av Joakim Eike Barane
Publisert 9. desember 2014
Innledning
I sikkerhetsmiljøet i Norge i dag synes et av de heteste temaene å være at den tradisjonelle modellen for risikoanalyse, basert på vurderinger av konsekvens og sannsynlighet knyttet til en uønsket hendelse, blir utfordret av en tilnærming som baserer seg på vurdering av tre faktorer; verdi (eller konsekvens), trussel og sårbarhet og samspillet mellom disse. Ikke minst er debatten aktualisert av den nye standardserien fra Standard Norge, NS 583X, som nettopp legger en slik tilnærming til grunn. Denne standardserien er utviklet spesielt for håndtering av tilsiktede uønskede handlinger, eller sikring, og for mange av oss som har dette som fagområde er dette en helt naturlig tilnærming og en velkommen og etterlengtet utvikling i norsk sammenheng. For andre kan det synes vanskelig å forstå at det er behov for en annerledes tilnærming til denne type risiko enn andre typer risiko.
Sikringsrisikostyring eller security risk management er et samfunnsvitenskapelig fagområde som noe forenklet handler om hvilke prosesser som leder til tilsiktede uønskede handlinger, og hvordan vi kan påvirke disse prosessene for å forhindre slike handlinger eller redusere konsekvensene av dem. Eller sagt på en annen måte: ivareta våre egne interesser på bekostning av en antagonists interesser. Dette fagområdet er forankret i samfunnsvitenskapen (social sciences) og er basert på teorier fra blant annet kriminologi, sosiologi og psykologi. «Trefaktormodell» for sikringsrisikoanalyse
Den såkalte trefaktormodellen for risikoanalyse baserer seg på et slikt akademisk grunnlag, og det er i dag mange som jobber med sikring som kommer fra andre bakgrunner. Det kan være teknologi, naturvitenskap, informatikk, politi- eller militærfag eller andre samfunnsvitenskapelige retninger, og medfører at man ikke nødvendigvis har samme teoretiske kompetanse på akkurat dette området.
Jeg vil nå forsøke å forklare litt av det teoretiske fundamentet som ligger bak denne tilnærmingen. Jeg vil understreke at dette ikke er en vitenskapelig artikkel, men en enkel fremstilling av akademisk teori som er mer kompleks og omfattende enn jeg beskriver her.
Teorien om rasjonelle valg
"Teorien tar utgangspunkt i at individene i samfunnet er rasjonelle aktører, og at det ligger en bevisst mål-middel-kalkyle til grunn for deres handlinger."
Det første sosiologiske og kriminologiske prinsippet som legges til grunn er rational choice theory, eller teorien om rasjonelle valg. Dette er et multidisiplinært rammeverk for blant annet å forklare sosial adferd, herunder kriminalitet. Teorien tar utgangspunkt i at individene i samfunnet er rasjonelle aktører, og at det ligger en bevisst mål-middel-kalkyle til grunn for deres handlinger. Allerede her ser vi en grunnleggende forskjell sammenlignet med annen type risiko som for eksempel i safety eller helse, da et jordskred eller en pandemi naturlig nok ikke velger sine forløp ut fra en rasjonell kalkyle av situasjonsbestemte faktorer. Denne tilnærmingen til å forklare kriminelle handlinger er imidlertid ikke enerådende innenfor kriminologi, for eksempel finnes det en motsats i determinismen eller positivismen. Denne skolen forfekter den deterministiske kriminelle, altså at enkelte individer er «forutbestemt» til å begå en kriminell handling, og vil gjøre det uansett. En av mine forelesere ved University of Leicester sa at vi som har security som fagområde er nødt til å forkaste den deterministiske kriminelle og forholde oss til teorien om rasjonelle valg, ellers kan vi like gjerne gi opp. Fullt så svart og hvitt er det nok ikke, displacement theory legger til en viss grad begge skolene til grunn når det hevdes at en kriminell vil være rasjonell og velge bort et godt beskyttet mål, men at forbrytelsen likevel vil bli begått mot et mål med mindre beskyttelse. Hvorvidt denne tankegangen er gjeldende, kan imidlertid variere sterkt mellom ulike grupper kriminelle. Uansett, rasjonelle valg-teorien og tanken om det (mer eller mindre) rasjonelt tenkende forbryterske individet ligger til grunn for det meste av akademia innen sikring, og danner grunnlaget for en av de viktigste teoriene for risikoanalyse innen sikringsfaget, nemlig rutineaktivitetsteorien.
Rutineaktivitetsteorien
Routine activity theory ble lansert av kriminologene Lawrence E. Cohen og Marcus Felson i 1979. Den tok i utgangspunktet for seg det de kalte «predatory crime», men ble senere utvidet til å omfatte de fleste typer kriminalitet. Teorien forutsetter at tre faktorer må være på plass for at en forbrytelse skal kunne finne sted; a suitable target eller passende mål; a motivated offendereller motivert gjerningsperson; og til slutt the absence of a capable guardian, altså fravær av en kvalifisert beskytter. Teorien er enkel, men effektiv.
Dersom en mulig gjerningsperson og et egnet mål møtes i tid og sted, og det ikke er noen eller noe der til å beskytte målet, er forholdene lagt til rette for at en kriminell handling kan finne sted.
Endrer man minst én av faktorene fjerner man også de nødvendige forutsetningene for en slik uønsket hendelse, og nettopp dette er jo selve essensen i sikringsfaget.
APT-teorien
Giovanni Manunta hadde også rutineaktivitetsteorien og de tre faktorene som bakteppe da han i 1999 publiserte sin banebrytende teori der han gjorde et forsøk på å lage en allmenngyldig definisjon av security, eller sikring, og presenterte formelen S = f (A,P,T) Si, også kjent som APT-teorien.
S=f(A,P,T)Si
I følge denne definisjonen er sikring en funksjon av samspillet mellom flere faktorer, herunder beskytteren (protector) som opptrer som motsatsen til en trusselaktør (threat) for å beskytte en verdi (asset) mot uakseptabel skade. Dette foregår innenfor en bestemt situasjon eller kontekst (situation). Manunta lanserte også begrepet sikringskontekst. For å etablere en sikringskontekst kreves en verdi som i utgangspunktet kan være hva som helst, så lenge det eksisterer en reell trusselaktør med en kapasitet og intensjon til å skade eller tilegne seg verdien, og det finnes en beskytter som er villig til å iverksette tiltak for å beskytte verdien gjennom det Manunta kaller sikringsprosessen. Dersom en av disse faktorene mangler, bortfaller sikringskonteksten og videre håndtering, eller sikringsprosess, er ikke nødvendig.
Det er i hovedsak dette teorigrunnlaget som ligger bak trefaktor-tilnærmingen til risiko innenfor security. Verdi-trussel- sårbarhetstilnærmingen til sikringsrisiko søker å bringe på det rene hvorvidt det finnes en sikringskontekst innenfor en gitt ramme, og å beskrive samspillet mellom de tre faktorene og hvordan dett samspillet utgjør en grad av risiko. Sannsynlighetsbegrepet slik det ofte brukes, nemlig til å angi sannsynligheten for at en bestemt hendelse skal inntreffe, anses ikke som egnet i en slik ramme. Dette krever litt nærmere utdyping.
Om sannsynlighetsbegrepet
Statistisk sett kan man si noe om for eksempel sannsynligheten for å bli utsatt for et terrorangrep. Filosofen Joakim Hammerlin hevder at sannsynligheten for å drukne i do er større enn å bli utsatt for et terrorangrep, og rent statistisk er dette sikkert riktig. Problemet med denne type tenkning illustreres likevel godt ved nettopp dette eksempelet. Jeg har ikke dataene på bordet, men vil anta at det slett ikke er helt tilfeldig hvem som drukner i do. Det vil heller ikke nødvendigvis være helt tilfeldig hvem som blir offer for et terrorangrep. Faktorer som hvor man befinner seg, hvem man er og hvilke tiltak man iverksetter for å beskytte seg vil spille inn. Likeledes har for eksempel professor Terje Aven påpekt at den reelle statistiske frekvensen for å bli utsatt for et slikt angrep bare er en av mange faktorer som kan og bør forme vår risikoforståelse og håndtering av denne type hendelser. PST skriver på sine hjemmesider at «[t]error er en type kriminalitet som forekommer så sjeldent at vi har lite empiri å bygge på. Dette er et lavfrekvensfenomen hvor hyppighet eller forekomst ikke kan beregnes ut fra historiske data, statistikk eller andre erfaringer. Det å beregne når neste terrorangrep kommer til å inntreffe blir upresist og preget av stor usikkerhet». De fleste innenfor faget er imidlertid heldigvis enige om at en frekvensbasert sannsynlighetstilnærming alene er utilstrekkelig i en sikringssammenheng.
"I en trusselbasert tilnærming er etterretning et langt viktigere hjelpemiddel enn frekvens"
Noen argumenterer likevel for at man kan bruke en bayesisk tilnærming til sannsynlighetsbegrepet i en sikringssammenheng. Dette innebærer en matematisk tilnærming til en problemstilling som har mangelfulle eller usikre data, og innebærer elementer av fornuft, logikk, historikk og personlige vurderinger hos analytikeren. Bruk av begrepet sannsynlighet i en slik sammenheng betyr likevel at man forutsetter at hendelser opptrer med en viss frekvens (selv om de hittil aldri har skjedd), mens tilnærmingen basert på kriminologisk teori tar utgangspunkt i adferdsteori, rasjonelle valg og mål/middel-kalkyler. Uansett hvordan man vrir og vender på det og hvor mange ulike faktorer og vurderinger man legger inn i sannsynlighetsbegrepet, vil det i en sikringsrisikoanalyse alltid forbli et parameter som er ment å forutse eller anslå hvor sannsynlig det er at akkurat du vil bli rammet av en bestemt hendelse. Den såkalte trefaktormodellen tar i stedet mål av seg å si noe om i hvilken grad det eksisterer en reell trusselaktør, og i hvilken grad det er mulig for denne aktøren å lykkes med å skade dine verdier dersom han forsøker. Forholdet mellom disse faktorene utgjør risikoen knyttet til det aktuelle scanarioet. Dette er en fundamental forskjell i de to tilnærmingene. I en trefaktortilnærming er etterretning et langt viktigere hjelpemiddel enn frekvens når man skal vurdere trusselbildet, og nettopp etterretning er et av nøkkelbegrepene som skiller risikoanalyse i en sikringssammenheng fra for eksempel safety. Å vurdere trusselaktørenes mulige eksistens, tilstedeværelse, intensjon, kapasitet og mulige handlemåter (modus operandi) ved hjelp av tilgjengelig informasjon er et av de bærende elementene en trefaktoranalyse, gjennom den selvstendige trusselvurderingen. I denne prosessen vurderes også både kvantitet og kvalitet på den tilgjengelige informasjonen. Trefaktormetoden forutsetter i det hele tatt en samfunnsvitenskapelig tilnærming der all informasjon og alle vurderinger er redegjort for og dokumentert, herunder grad av usikkerhet, for å sikre størst mulig grad av validitet og reliabilitet.
Om usikkerhet
«the risk matrix is simple, easily understood and completely misleading»
Grad av usikkerhet er og bør være et helt sentralt element i sikringsanalyse. I en trefaktoranalyse skal usikkerheten knyttet til hver av de tre vurderingene verdi, trussel og sårbarhet beskrives og vil påvirke den endelige vurderingen av risiko. Stor usikkerhet rundt datagrunnlaget knyttet til for eksempel trussel- eller sårbarhetsvurderingen vil trekke risikoen opp, nettopp for å kompensere for denne usikkerheten. Terje Aven bruker i sin kronikk «Risikotankegangen er fullstendig foreldet» i Aftenbladet 20. august 2012 eksempelet at risikoen knyttet til et bestemt scenario vurderes som lav, mens den «…burde kanskje ha blitt vurdert som høy fordi kunnskapsgrunnlaget for sannsynligheten som ble satt er svakt». Generelt sett er usikkerhet stemoderlig behandlet innenfor risikoanalyse som benytter sannsynlighet som et parameter, slik Aven også påpeker. Det er selvsagt fullt mulig å kompensere for usikkerhet også ved bruk av en slik metode, men man stilles overfor en del pedagogiske utfordringer. Kan man oppjustere en hendelse fra «lite sannsynlig» til «sannsynlig» grunnet manglende datagrunnlag? Neppe gangbart. Og i en matriseform der risikoen blir et utslag av hvor en sannsynlighetsakse og en konsekvensakse møtes, er det vanskelig å justere selve risikoen for å kompensere for faktorer som usikkerhet uten å ødelegge et av hovedprinsippene ved nettopp denne tilnærmingen. Jeg sier ikke at det er umulig, men det illustrerer med all tydelighet at metoden opprinnelig er utviklet for andre fagområder. Som en brite jeg møtte i jobbsammenheng en gang uttrykte det: «the risk matrix is simple, easily understood and completely misleading».
I praksis
Et viktig poeng med risikoanalyse knyttet nettopp til sikring, er at analysen i de fleste tilfeller er ment som et beslutningsgrunnlag for å avgjøre i hvilken grad og på hvilken måte en bestemt entitet, for eksempel en virksomhet, skal velge å beskytte seg mot uønskede tilsiktede handlinger. I en slik kontekst er ikke nødvendigvis hvorvidt sannsynligheten er moderat eller høy så veldig interessant, men snarere hvilke trusselaktører som er reelle og hva slags form et eventuelt angrep vil kunne ha. Hvis man er sårbar overfor et slikt mulig scenario har man i praksis spilt ballen over til motstanderen og må leve med en høy grad av usikkerhet rundt egen fremtid, og nettopp det at risiko er et uttrykk for usikkerhet rundt måloppnåelse, som definert i blant annet ISO 31000, er jo noe de fleste kan enes om. Man kan da iverksette tiltak for å redusere sårbarheten, basert på informasjonen som er fremkommet i trussel- og sårbarhetsvurderingen, og redusere risikoen.
"Å si at det er sannsynlig at minst én norsk virksomhet blir rammet av terror i løpet av de neste fem årene, og derfor skal alle norske virksomheter sikre seg mot terror på samme måte, er ikke risikobasert sikring og har lite med god risikostyring å gjøre"
Et eksempel fra gateperspektiv: hver dag går politiet ut i gatene i Norge iført en lettvest som blant annet beskytter mot knivstikking. Sannsynligheten for at nettopp betjent Pedersen skal bli knivstukket er minimal, dersom man bruker statistikk eller frekvens som utgangspunkt. Dette bør imidlertid ikke være noen hvilepute for Pedersen. Vi vet nemlig at det finnes individer der ute med kapasitet og intensjon til å angripe politiet med kniv (eller at en slik intensjon kan oppstå i løpet av sekunder), og at knivskader raskt kan bli livstruende. Man velger derfor heller å se på det faktum at det eksisterer en reell trussel, og reduserer egen sårbarhet for å beskytte verdien; i dette tilfellet minimere skaden ved et angrep. Eller med Manuntas teori: man har en verdi, en trussel og en beskytter og dermed en sikringskontekst, og i sikringsprosessen reduserer man sårbarhet ved å bruke vest. Man kan selvsagt løfte problemstillingen opp utover den enkelte tjenestemann og si at sannsynligheten for at en polititjenestemann blir forsøkt knivstukket en eller annen gang er svært høy, og man derfor utstyrer alle med lettvest. Det fungerer greit i dette svært enkle eksempelet, men for eksempel å si at det er sannsynlig at minst én norsk virksomhet blir rammet av terror i løpet av de neste fem årene, og derfor skal alle norske virksomheter sikre seg mot terror på samme måte, er ikke en risikobasert tilnærming til sikring og har lite med god risikostyring å gjøre.
I sin rapport «Nasjonal sårbarhets- og beredskapsrapport (NSBR) 2011» presenterer Direktoratet for samfunnssikkerhet og beredskap (DSB) et «nasjonalt risikobilde» der ulike uønskede hendelser, tilsiktede og utilsiktede, er vurdert ut fra sannsynlighet og konsekvens. Et terrorangrep havner i dette bildet på moderat risiko, helt på grensen til lav. Dette skyldes blant annet at sannsynligheten for et slikt angrep er vurdert som lav.
Vi ble møtt med en del hevede øyenbryn for disse konklusjonene; det var tydelig kontroversielt å hevde at risiko knyttet til terror var høy.
På samme tid gjorde jeg og en kollega i konsulentvirksomheten jeg da jobbet for, en omfattende risikoanalyse for en stor statlig aktør. Med vår trefaktortilnærming vurderte vi terrorangrep som en moderat (og reell) trussel, sårbarheten som høy og mulige konsekvenser som høye. Samlet vurderte vi risiko knyttet til et terrorangrep som høy, og her medvirket også den usikkerhet som knytter seg til en slik trusselvurdering. Vi ble møtt med en del hevede øyenbryn for disse konklusjonene; det var tydelig kontroversielt å hevde at risiko knyttet til terrorhandlinger var høy, og argumentet var gjennomgående at sannsynligheten for et slikt angrep generelt var oppfattet å være liten.
Fire måneder etter DSBs rapport og en måned etter vår risikoanalyse detonerte Anders Behring Breivik sin bombe i regjeringskvartalet, etterfulgt av massakren på Utøya.
Nå er det, som jeg påpekte også i politieksempelet, forskjell på å gjøre en nasjonal risikoanalyse og en risikoanalyse for et bestemt objekt. Jeg tør likevel påstå at resultatene, altså hvor terrorangrepet havnet på den rangerte listen over risiko knyttet til forskjellige scenarioer, i disse tilfellene hovedsakelig kan forklares ved valg av metode. Dersom DSBs tilnærming var blitt anvendt til vår analyse ville risikoen havnet på moderat, ikke høy. Det er også grunn til å tro at terrorhandlinger ville havnet høyere på det nasjonale risikobildet hadde man anvendt en trefaktortilnærming. I dette tilfellet fikk vi dessverre fasiten kun uker og måneder etterpå. I DSBs nasjonale risikobilde året etter ble for øvrig ikke scenarioer knyttet til uønskede tilsiktede handlinger lenger vurdert ut fra et sannsynlighetsperspektiv, men behandlet spesielt.
Oppsummering
Det finnes mange måter å vurdere risiko på, og ingen av dem er vanntette, nøyaktige eller riktige. Risikoanalyse- og styring er kunsten å forsøke å skape mest mulig sikkerhet rundt håndteringen av mulige, fremtidige hendelser og vil aldri kunne bli en eksakt vitenskap med mindre man får tak i en krystallkule. Det finnes imidlertid verktøy som er bedre egnet enn andre ut fra jobben du skal gjøre, og overfor en antatt rasjonelt tenkende og kalkulerende motstander kan det argumenteres at en metodikk som er forankret i adferdsteori er å foretrekke.
"I en sikringssammenheng er det rett og slett lite interessant hvor stor eller liten sannsynligheten er for at en uønsket handling skal ramme nettopp deg eller din virksomhet"
I en sikringssammenheng er det rett og slett lite interessant hvor stor eller liten sannsynligheten er for at en uønsket handling skal ramme nettopp deg eller din virksomhet. Like lite interessant er det at noen der ute én eller annen gang kommer til å bli rammet. Står du overfor en for deg reell trusselaktør og de potensielle konsekvensene av et angrep er uakseptable, bør du ta skritt for å håndtere situasjonen på en hensiktsmessig måte.
Det er etter min mening kun en verdi-trussel-sårbarhetstilnærming til risiko som ivaretar særtrekkene rundt tilsiktede uønskede handlinger på en tilfredsstillende måte.
Kilder
-
Aven, T., 2012. Risikotenkningen er fullstendig foreldet. Stavanger: Aftenbladet. Tilgjengelig på: http://www.aftenbladet.no/meninger/kommentar/Risikotenkningen-er-fullstendig-foreldet-3015836.html
-
Clarke, R. V. and M. Felson (red.) 1993. Routine Activity and Rational Choice. Advances in Criminological Theory, Vol 5. New Brunswick, NJ: Transaction Books
-
Cohen, L. E. and Felson, C., 1979. Social Change and Crime Rate Trends: a Routine Activity Approach. American Sociological Review, 44, s. 588-608
-
Direktoratet for samfunnssikkerhet og beredskap, 2011. Nasjonal sårbarhets- og beredskapsrapport (NSBR) 2011. Tønsberg: DSB
-
Direktoratet for samfunnssikkerhet og beredskap, 2012. Nasjonalt risikobilde. Tønsberg: DSB
-
Hammerlin, J., 2009. Terrorindustrien. Oslo: Forlaget Manifest
-
International Organization for Standardization, 2009. ISO 31000: 2009, Risk management – Principles and guidelines. Geneve: ISO
-
Manunta, G. (1999) What is security? Security Journal, 12, s. 57-66
-
Nasjonal sikkerhetsmyndighet, Politidirektoratet og Politiets sikkerhetstjeneste, 2010. En veiledning: sikkerhets- og beredskapstiltak mot terrorhandlinger. Oslo: NSM, POD og PST
-
Politiets sikkerhetstjeneste, 2013. Risiko – en innføring. Tilgjengelig på: http://www.pst.no/blogg/risiko-en-innforing/
-
Shuttleworth, M., 2009. Bayesian probability – Predicting Likelihood of Future Events. Explorable.com. Tilgjengelig på: https://explorable.com/bayesian-probability
-
Standard Norge, 2012. SN 5830: 2012, Samfunnssikkerhet – beskyttelse mot tilsiktede uønskede handlinger – terminology. Oslo: Standard Norge