Forsvarets Forskningsinstitutt utga i fjor vår rapporten «Tilnærminger til risikovurderinger for tilsiktede uønskede handlinger», der de sammenligner to forskjellige tilnærminger med utgangspunkt i hver sin standard; NS 5814 og NS 5832. Det er mye bra i rapporten, men kapittelet som omhandler det «teoretiske grunnlaget» for NS 5832 evner dessverre ikke å vise sammenhengene på en god måte, og inneholder også noen gale fremstillinger. Jeg skal her forsøke å redegjøre litt nærmere.

 

Selvfølgeligheter?

Rutineaktivitetsteorien er et viktig bakteppe for NS 5832. Teorien forutsetter at tre faktorer må være på plass for at en forbrytelse skal kunne finne sted; et passende mål; en motivert gjerningsperson; og til slutt fravær av en kvalifisert beskytter. Dersom en mulig gjerningsperson og et egnet mål møtes i tid og sted, og det ikke er noen eller noe der til å beskytte målet, er forholdene lagt til rette for at en kriminell handling kan finne sted.

 

FFI velger å illustrere dette med følgende eksempel: «… en rusbruker med abstinenser og et desperat behov for å skaffe penger til en ny dose (motivert trusselaktør), som treffer på en beruset person har akkurat vært i minibanken og tatt ut penger (et egnet mål for trusselaktøren) som forviller seg inn en mørk bakgate og øde sted (fravær av noe(n) som beskytter personen). Dette kan det lett resultere i et ran». Et banalt, men korrekt eksempel på rutineaktivitetsteorien (ikke sikringskontekst, slik om FFI skriver). Teorien kan også virke banal, men har stått stødig som et fundament i anvendt kriminologi siden syttitallet. Det er imidlertid den praktiske anvendelsen av kunnskapen som er interessant.

​

Fra teori til praksis

I en sikringsanalyse er poenget nettopp å identifisere scenarioer som det knytter seg høy risiko til på forhånd, for så å ta skritt i form av sikringstiltak for å hindre at de inntreffer. Dersom man har identifisert en reell trusselaktør, man oppfatter sine verdier som aktuelle mål for denne trusselaktøren, og man har identifisert at man er sårbar overfor et eventuelt angrep –hvorfor sitte og vente på at disse faktorene skal møtes i tid og rom? Denne usikkerheten rundt fremtidige hendelser gir høy risiko og bør håndteres.

 

For å kunne håndtere denne risikoen på best mulig måte er man avhengig av å gi de tre «boblene» i rutineaktivitetsteorien et så nøyaktig og detaljert innhold som mulig, gjennom sikringsrisikoanalysen. Ved detaljert analyse av egne verdier og aktuelle trusselaktørers kapasitet, intensjon og motivasjon vil man kunne lage plausible angrepsscenarioer. Ut fra disse vil man videre kunne vurdere egen sårbarhet, altså i hvilken grad man fremstår som en kvalifisert beskytter av egne verdier eller ikke. Risikoen vil bli et produkt av aktuelle trusselaktørers «farlighetsgrad» (herunder intensjon og kapasitet), konsekvensene av skade eller bortfall av de aktuelle verdiene og i hvilken grad man er sårbar (mangel på en kvalifisert beskytter) overfor et eventuelt angrep.

 

Sikringstiltak kan da iverksettes ved å påvirke faktorene i rutineaktivitetsmodellen. I teorien kan man svekke eller fjerne trusselaktøren (stort sett forbeholdt myndigheter), gjøre verdiene mindre attraktive eller kritiske (fargeampuller på pengekofferter eller sørge for redundans) eller styrke «forsvaret» slik at det kan motstå eller avverge en hendelse. I denne sammenheng burde teorien om situasjonsbetinget kriminalitetsforebygging være barnelærdom for alle som jobber med sikring. Med en slik tilnærming blir uansett spørsmålet om sannsynligheten for at en hendelse skal inntreffe overflødig.

 

Det rasjonelle individet

Som en forutsetning for en sikringsrisikoanalyse og den praktiske anvendelsen av rutineaktivitetsteorien ligger teorien om rasjonelle valg. Teorien tar utgangspunkt i at individene i samfunnet er rasjonelle aktører, og at det ligger en bevisst mål/middel og kost/nytte-kalkyle til grunn for deres handlinger. FFI illustrerer dette med at en selvmordsbomber kan foreta valg som for han er rasjonelle, men for andre synes irrasjonelle, som å sprenge seg i luften, og «…derfor er vanskelig å forutse». Eksempelet viser dessverre at FFi ikke helt har forstått på hvilken måte disse forutsetningene har betydning i en sikringssammenheng.

 

La oss bruke selvmordsbomberen som eksempel. Dersom man har identifisert ekstreme islamister som en trusselaktør, kan man foreta ytterligere analyse for å utelukke eller inkludere mulige handlemåter. Dette fordrer at man sitter med informasjon om trusselaktøren og kan sette seg inn i deres tankemåte. Hva er trusselaktørens motivasjon? Hva ønsker de å oppnå? Er dette en hensiktsmessig måte å oppnå det på? Innebærer dette scenarioet akseptabel risiko for trusselaktøren? En terrorist er kanskje forberedt på å miste livet, andre kriminelle er ikke det. Har trusselaktøren den nødvendige kapasitet til å gjennomføre det? Er dette scenarioet uforholdsmessig komplisert? Hva ville du gjort hvis du var dem?

 

Valg av scenarioer

Basert på tankegangen fra teorien om rasjonelle valg, vil en gjerningsperson velge den eller de fremgangsmåter der det er størst sjanse for suksess i henhold til egen motivasjon, så lenge denne er innenfor deres rammer for akseptabel adferd og risiko. I vårt eksempel vil kanskje selvmordsbomber være et slikt mulig scenario.

 

Gjennom en trusselvurdering har man altså identifisert både ekstreme islamister som trusselaktør og selvmordsbomber som handlemåte (modus operandi). Det er nå det virkelig begynner å bli interessant å sette seg inn i gjerningsmannens hode og rasjonale. En person kan bære begrenset med sprengstoff, og bør detonere der det er mange mennesker for størst mulig effekt. Han eller hun vil unngå å bli konfrontert av sikkerhetspersonell (de fleste selvmordsbombere er nervøse og stresset, og detonerer ofte ved første hinder eller konfrontasjon). Å forsere hindre er tungvint og risikabelt med et bombebelte. Personen vil unngå situasjoner der han eller hun skiller seg ut. Ved å tenke som gjerningsmannen, kan vi iverksette sikringstiltak som vil påvirke denne til å oppføre seg slik vi vil, og dermed avverge eller minimere konsekvensene ved et angrep. En slik tankegang vil ikke være gjeldende for risikoanalyse som ikke involverer tilsiktede menneskelige handlinger.

 

Og hva mener Manunta egentlig?

Professor Giovanni Manunta, som laget en universell definisjon for sikring (security) basert på rutineaktivitetsteorien, siteres korrekt i FFI-rapporten på at han mener sikring er uforenelig med risikobegrepet. Hvorfor nevnes da hans teorier i sammenheng med sikringsrisikoanalyse?

Manunta forholder seg til sikkerhet i sin «reneste» form, og definerer den som en tilstand der man er helt fri for bekymringer; man er «sikker». I en slik tolkning kan man ikke være «litt sikker», man er enten sikker eller ikke. En risikobasert tilnærming til sikkerhet er litt annerledes, men professoren medgir i andre publikasjoner at en slik tilnærming også er et alternativ.

 

Han lanserte imidlertid også begrepet sikringskontekst. I en risikoanalyse betyr dette at må man alltid søke å bringe på det rene om man har verdier som man ønsker å bruke ressurser på å beskytte. Det kan høres selvfølgelig ut, men svaret er ikke gitt. Noen gateskilt, som Dops gate, blir relativt ofte stjålet i Oslo. Kommunen velger likevel å bare erstatte dem etter hvert som de blir borte i stedet for å forsøke å forhindre det, fordi det ville være vanskelig og kanskje kostbart. Man kan si at Manuntas sikringskontekst legger et «kommersielt filter» på rutineaktivitetsteorien. Det er ikke alle uønskede eller kriminelle handlinger vi skal bruke ressurser på å håndtere. En god analyse vil vise både hvilke vi skal konsentrere ressursene våre om, og hvordan vi skal gjøre det mest hensiktsmessig og kostnadseffektivt.

 

Mer forskning, takk!

FFI påpeker at det ligger mye mer publisert materiale tilgjengelig som omhandler den mer «tradisjonelle» måten å gjøre risikoanalyse på. Det er korrekt, og ganske naturlig ettersom det er tilnærmingen som skildres i NS 5832 som er «utfordreren». Det er imidlertid et relevant poeng at lite av den publiserte litteraturen tar for seg sikring spesielt, men snarere søker en universalmetodikk for risikoanalyse. Det finnes det imidlertid store mengder publisert materiale på teoriene jeg har beskrevet her, og metodikken i NS 5832 er kun en operasjonalisering av disse. FFIs rapport viser at det er behov for mer forskning på denne tilnærmingen. Det bare å plukke opp ballen.